Securing WebGoat using ModSecurity | Cerca per titolo, autore, parola chiave | ||||||||
Securing WebGoat using ModSecurity Documento PDF. Securing WebGoat using ModSecurity, Summer of Code 2008, OWASP Beta Level, Version 1.0, November 2008. ModSecurity è un firewall open source che può operare sia embedded in un server web Apache, sia come un reverse proxy. ModSecurity offre una protezione da una varietà di attacchi sferrati contro le applicazioni web, permette il monitoraggio e l'analisi, in tempo reale, del traffico HTTP, senza richiedere cambiamenti consistenti all'infrastruttura esistente. I server web, normalmente, sono ben forniti di strumenti di analisi del traffico web, utilizzati come veri e propri strumenti di marketing, ma, spesso, non sono in grado di registrare il traffico destinato alle applicazioni web. In particolare, molti server non hanno strumenti per catturare i messaggi di richiesta ( header e body ), inviati alle applicazioni residenti. I vostri avversari sanno tutto questo. Ecco perchè, oggi, molti attacchi vengono sferrati attraverso le richieste HTTP POST, rendendo i sistemi ciechi di fronte ad essi. ModSecurity può, invece, intercettare tutte le transazioni HTTP, permettendo di registrare tutte le richieste inviate al server e tutte le risposte spedite dal server. Inoltre, ModSecurity è in grado di monitorare, in tempo reale, il traffico HTTP e di identificare eventuali attacchi, proprio come un web "intrusion detection tool". ModSecurity™, di default, non offre una grande protezione. Affinchè ModSecurity possa diventare utilissimo, è necessario configurarlo con una serie di Regole. ModSecurity offre gratuitamente una vasta raccolta di Regole ( Core Ruleset ) generiche che coprono aree quali l'aderenza al protocollo, l'identificazione di software maligno nelle richieste inviate dai client, la protezione XML, la cattura degli errori e l'individuazione di attacchi generici. E' sempre bene ricordare, come avviene nella documentazione delle Core Set Rule, che, visto che queste regole sono liberamente disponibili a chiunque, anche a coloro che eseguiranno degli attacchi ad un qualche sistema, alcune di queste regole devono essere considerate più come un meccanismo di riduzione del rischio, che non un reale meccanismo di messa in sicurezza. WebGoat è una applicazione J2EE, curata da OWASP, che è stata deliberatamente mantenuta insicura, al fine di poter essere utilizzata nel corso delle lezioni relative alla sicurezza. In ogni lezione, l'utente deve dimostrare la sua comprensione di un particolare aspetto relativo alla sicurezza, sfruttando una reale vulnerabilità presente in WebGoat. Per esempio, in una delle lezioni, l'utente dovrà usare la tecnica SQL injection per prelevare falsi numeri di carta di credito. WebGoat è un ambiente realistico di produzione finalizzato all'insegnamento, in grado di offrire codice e suggerimenti utili all'approfondimento delle varie tematiche affrontate. Le lezioni contenute in WebGoat 5.2 affrontano più di 30 differenti tipi di attacco all'applicazione WebGoat. Lo scopo di questo progetto è di creare un set di regole personalizzate, in aggiunta al Core Set, che siano in grado di offrire una protezione più ampia possibile ( l'obiettivo è di arrivare al 90% ) per WebGoat 5.2, senza modificare una sola riga del codice sorgente. Queste lezioni sono reperibili anche all'indirizzo: https://www.owasp.org/index.php/OWASP_Securing_WebGoat_using_ModSecurity_Project.
|
|||||||||
Securing WebGoat using ModSecurity | Disclaimer: questo è un link a contenuti ospitati su server esterni. |