Проблема непрерывной защиты веб-приложений. Взгляд со стороны исследователей и эксплуатантов

. , - , : WAF ( , SolidLab) , WAF (@avpavlov, Solar JSOC).



, WAF.









SolidLab. – application security – offensive ( , , ) defensive ( SDLC – , , , WAF ).



-, . , SOC, WAF’ /. . :





, – (, – «» «» ), QA- security-: « » . «» : – , , , .



, ( ) . ( ) :





, - (RoR, Django, Spring, Struts, ASP.NET MVC ..) , , , , CSRF find/replace. , - , CSRF, SQL injection, XSS. , XML- (.. safe defaults).



:





sSDLC , .



whateverbox- , , aka Bug Bounty. , (. Vulners, WhiteSource, OWASP dependency-check), – , . .



/ – , . , -, ( ) , (, ), (, ) . , - , - ( ), , , , .



, / .



, , -:



  1. 1-day . – 1-day ( 0-day) , - .



  2. ( , ). – ( , , ).



  3. . – () , . , sSDLC, , , : Bug Bounty .


, , , ( WAF’ ), WAF'.



WAF’ ( ) ( benchmark WAF’ , ), , , . – WAF .



WAF



: WAF , , (injection/tampering).



:



  1. / . PATH URL. , URL- (, /do), “action”, – “page” “res”. / HTTP-.



  2. , . , HTTP - HTTP-.


, WAF’ – HTTP-, , , , .



:





, WAF , . , APEX x01, x02,… , , XML/JSON, base64, , , X-WWW-URLENCODED .



WAF



APEX : WAF // HTTP- ( URL, , ), .



, APEX x01, x02 .. , :





, WAF :





, WAF User Tracking[1] APEX- - , login-, login-, logout- — HTTP-.



, , APEX-, URL: XML-RPC, JSON-RPC, SOAP ..



WAF



, - ( injection-) , ( //OTP, , – , , DoS ). , – (. Insecure Direct Object Reference). «» -.



– ?



, , - – , , , , , .



, WAF’ , , , , .



  1. User Tracking , , . , (- , , logout- URL ..).



  2. gamer.ru



All Articles