Project in Computer SecurityExpanding Web Application Firewall Testing Framework

Supervisor: Amichai ShulmanStudents: Gil Ovadia & Shooki Matzliah

Introduction•Web Application Firewall (WAF) היעילה המידע אבטחת טכנולוגיית הן

. להפעיל מסוגלים הם שכן התקפות מפני אינטרנט יישומי על להגנה ביותר. שונים מסוגים התקפות של וחסימה הרצה בזמן זיהוי

•WAF , . הקיימים הבדיקה כלי זאת עם פעם מאי יותר נפוצים להיות הופכיםידי על זוהתה שלא הזדונית התעבורה כמות את עוסקת WAFמודדים ואינה

. כזדונית בטעות שהתגלתה הלגיטימית התעבורה כמות במדידת

•(WAF Testing Framework, A.K.A WTF)- ל בדיקות תוכנת הגנה - WAFקיימת של ההיבטים שני את בחשבון שלוקחת

. זדונית תנועה ולגלות לגיטימית תנועה לאפשרההתקפות את גם שמייצגים תצורה קבצי של וקבוצה מכלי מורכבת המסגרת , . באמצעות יישומים לשרת רשת תעבורת מספק הכלי לגיטימית תעבורה של

WAF . של, התוצאה את מודד מכן לאחר הכלי התצורה מקבצי הוראות לפי , .) לבסוף ) לאפשר או לחסום הצפויות לתוצאות ומשווה בנפרד בקשה כל

- ה מתנהג כיצד המראים מפורטים דוחות לייצר מסוגל תצורת WAFהכלי נגדהבדיקה.

• : התבססנו עליהם התקיפות .RFI, SQLi, XSSסוגי

Evasion•Virtual Patching- ה: שבו לפרצות WAFתהליך כתיקון משמש

קוד בעריכת הצורך מבלי באפליקציה שקיימות אבטחה: שלבים. בשני מתבצע זה תהליך האפליקציה

•Activation- ה: בו לנקודה WAFהשלב מיועד המידע שרצף מזהה . תקיפה נסיונות ולזרוק המידע את לנתח ועליו באפליקציה רגישה

- ה של חולשה נקודת -WAFזוהי ה שאם שעליו WAFמשום מזהה לא- ה ) שדה כי למשל מסוימת בקשה עבור מתאים Pathלפעול לא

" " ,) התקפות זו בקשה על להלביש נוכל עבורו שהוגדרו לחוקיםכרצוננו.

•Verification- ה: שלאחר השלב -Activationזהו ה, קיבל WAFבולגלות מנת על שנשלחה הבקשה את ולנתח לפעול שעליו החלטה

- . ה התנהגות בהם מקומות לנצל ניתן כאן תקיפה לא WAFדפוסיהתוכנית ) התנהגות את בדיוק (, Impedance Mismatchתואמת

, מנת על שנשלחה הבקשה תוכן את במקצת לזהם לעיתים ניתן- ה מכללי אנו, WAFלהתחמק אותו ההתקפה בתוכן לפגוע מבלי

. להעביר מנסים

Goals and Objectives

- ה עבור אוטומטי באופן קונפיגורציה קבצי WAF TestingיצירתFramework. סטנדרטי בפורמט רשת תעבורת לכידת על המבוססים

- ל חדשות בדיקות -WTFהוספת ה של התמודדות בדיקת WAFלצורךטכניקות - לאחרונה שפורסמו חולשות " Evasionעם מאמרו י עפ

Ivan Ristikשל

בדיקת ) לגיטימית תעבורה (.false positiveהוספת

1

2

3

Toolsבשפת • כתובה הבדיקות בסביבת, Javaמערכת IntelliJהשתמשנו

IDEA

עליה - WebGoatאפליקציית • מוגנת בלתי דמה אפליקציית זוהי . נחשבת זו אפליקציה על התקפה כל ההתקפות כל את ביצענו

התנהגות, את לבודד היה ניתן ומכאן אשר WAFכמוצלחת מסוים. זו אפליקציה מעל רץ

•Imperva WTF - לבדיקת ' WAFהכלי בחב , Impervaשפותח. מרחיבים אנו אותו

•Snort - זהוWAF האפליקציה שרת לבין הלקוח בין הקמנו אשר- כ אותנו שימש .WAFואשר הבדיקות מערכת את הרצנו שעליו

Tools•Mod Security - זהוWAF שרת לבין הלקוח בין הקמנו אשר נוסף

. פתוח, קוד בעל האפליקציה

•XML - מערכת של קונפיגורציה לצורך הנתונים העברת צורתמריץ. אותם והתרחישים התקיפות מתוכנתות בו האופן זהו הבדיקות

. WTFה- ההתחמקות טכניקות את מימשנו האפליקציה על. זה מסוג קונפיגורציה קבצי באמצעות

•Charles Proxy - ותגובות בקשות תפיסת המאפשר כלי HTTPזהו . שליחתן בעת בקשות לשנות ניתן באמצעותו ברשת שעוברות . נסיונות לשחזר מנת על בו השתמשנו רשת תעבורת ולהקליט

. רשת תעבורת ולהקליט התקפה

Working Processללא ) • סטנדרטיות תקיפות :ModSecurityבנוכחות( Evasionהרצת

Working Processללא ) • סטנדרטיות תקיפות ללא Snortבנוכחות( Evasionהרצת

כלל :Paranoidהפעלת

Working Processללא ) • סטנדרטיות תקיפות כאשר Snortבנוכחות( Evasionהרצת

:Paranoidכלל מופעל

Working Processתקיפות • :Snortעל RFIהרצת

Working Processתקיפות • :Snortעל SQLiהרצת

Working Processתקיפות • :ModSecurityעל SQLiהרצת

Working Processתקיפות • :Snortעל XSSהרצת

Working Processתקיפות • :ModSecurityעל XSSהרצת

Conclusionsטכניקות • ללא - Evasionגם זמנית, ובו תקיפות למנוע נוכל לא

ההגנה Trade-offיש. False-Positive 0%ליצור רמת בין מסוים. שתחסם הלגיטימית התעבורה לכמות

•- ה את לעבור הצליחו שיישמנו הטכניקות עליהם Firewallsמרבית " אפליקציה – כל ולתקוף ל הנ הטכניקות את ליישם ניתן בדקנו

. גבוהים הצלחה באחוזי כיום מוגנת

כגון – • בפרמטרים שימוש המבצעות תקיפות אשר SQLiעבור , לבצע יותר קשה קלט בשדות בשלב Evasionמשתמשת

.Verificationה-

•- ל הנוגע בתוכה, WAF Testingבכל כוללת אינה אשר בדיקה.Evasionטכניקות מספקת תהיה לא

Thanks !