Servidor de seguridad de la aplicación web mediante el análisis del código fuente de la aplicación web

3

Leí esta página: Categoría: OWASP Mejores prácticas: uso de firewalls de aplicaciones web , y encontré que WAF generalmente no puede detectar ataques lógicos.

Sabemos que cada aplicación web tiene una serie de parámetros de entrada. Creo que estos parámetros de entrada y sus valores válidos asociados pueden extraerse posiblemente mediante la herramienta de análisis de código.

Ahora, mi pregunta es si podemos usar herramientas de análisis de código y pasar sus resultados al WAF para detectar algunos ataques lógicos, como un ejemplo que se ha descrito en esta página: Vulnerabilidades lógicas y técnicas ?

Además, me gustaría saber cuáles son las ventajas de usar el análisis de código con WAF.

Busqué en Google y no pude encontrar ningún WAF que utilice el análisis de código para generar sus reglas o aumentar su rendimiento y disminuir los falsos positivos.

    
pregunta Patris 15.01.2018 - 08:52
fuente

3 respuestas

0

Si realmente puede determinar los valores de entrada válidos a partir del análisis estático, puede usar eso para guiar la validación de entrada adecuada en su aplicación. Sin embargo, con esa falta de validación de entrada, la mayoría de las herramientas de análisis estático no podrían determinar las respuestas apropiadas. Los firewalls de aplicaciones web se utilizan para defenderse contra vulnerabilidades desconocidas y patrones comunes (por ejemplo, XSS y SQLi en su mayoría).

    
respondido por el David 18.01.2018 - 04:10
fuente
0

Los firewalls de aplicaciones web modernas tienen la capacidad de imponer la lógica de la aplicación al estudiar y capacitar sobre las rutas de ejecución válidas de la aplicación y bloquear cualquier solicitud que no la siga. Por ejemplo, supongamos que una lógica de aplicación realiza las siguientes operaciones en el siguiente orden:

  1. elegir artículo
  2. realizar el pago
  3. Recibir artículo

Los WAF pueden exigir que los tres pasos anteriores se realicen en el orden indicado anteriormente. Esto significa que si un ataque intenta realizar lo siguiente:

  1. elegir artículo
  2. Recibir artículo

WAF detectará que no se ha seguido la ruta válida y bloqueará la solicitud. Esto requiere que el WAF esté capacitado en todas las rutas válidas de la aplicación antes de imponer el bloqueo.

    
respondido por el void_in 18.01.2018 - 06:03
fuente
0

No, las herramientas basadas en el comportamiento no identificarán las rutas lógicas ya que la única información que tienen es la entrada que llega a través de la red. Puede entrenarlos para el mejor conocido y lo que se considera una mala entrada, pero para identificar la lógica que necesitará para comprender el flujo completo de su aplicación y los subsiguientes sistemas / dominios involucrados.

La otra cosa a tener en cuenta es la responsabilidad de WAF no proteger una aplicación para ataques lógicos, es responsabilidad de los ataques de aplicaciones web, proteger su aplicación de ataques lógicos es responsabilidad de las aplicaciones.

    
respondido por el McMatty 18.01.2018 - 20:57
fuente

Lea otras preguntas en las etiquetas