https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:17 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#c1822 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=772 nospam@example.com (Arv) Bo bezpieczeństwo jest jak cebula, ma warstwy :) WAF to TYLKO jedna z nich. Tue, 01 Dec 2009 07:59:09 +0100 https://archive.mroczna-zaloga.org/archives/772-guid.html#c1822 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#c1821 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=772 nospam@example.com (Paweł Goleń) W sumie Wasze komentarze (wszystkie trzy do tej pory) są zgodne z moimi oczekiwaniami. Sam jednak zwykle kładę większy nacisk na testy samej aplikacji, a nie całej infrastruktury. W związku z tym wydaje mi się, że sensowne jest najpierw sprawdzenie aplikacji bez WAF, a później próba wykorzystania znalezionych podatności z włączonym WAF, czy nawet szersza analiza jego konfiguracji. Testowanie "przez" WAF przypomina mi trochę testowanie aplikacji z mocną walidacją danych wejściowych. Jeśli walidacja jest dobra (reguły WAF dobre), to niewiele udaje się osiągnąć. Empirycznie nie można stwierdzić jak realizowany jest encoding danych albo jak realizowany jest dostęp do bazy danych (budowane zapytania SQL co wprost łączy się z SQLi). Później okazuje się, że występują "drobne" zmiany w warstwie odpowiadającej za walidację i nagle okazuje się, że "głębiej" jest mocno źle. Dlatego czasami chyba nawet wolę, gdy aplikacja ma usterki w walidacji i widzę, że działa druga czy trzecia linia obrony :) Przy całej mojej sympatii do WAF, uważam, że aplikacja powinna bronić się bez nich. Choćby dlatego, że WAF nagle może zniknąć, tak jak pisze Przemek (sytuacja analogiczna do "nagłego" zepsucia walidacji). Mon, 30 Nov 2009 18:36:29 +0100 https://archive.mroczna-zaloga.org/archives/772-guid.html#c1821 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#c1819 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=772 nospam@example.com (Paweł Goleń) Z "laurkami bezpieczeństwa" mam ten problem, że nie bardzo wiem jakie mają być kryteria ich przyznawania. Zwłaszcza jeśli weźmie się pod uwagę, że test bezpieczeństwa/penetracyjny z zasady nie jest działaniem formalnym, takim jak audyt, choć terminy te często są (błędnie) używane zamiennie. OWASP ASVS to moim zdaniem krok w dobrym kierunku, choć muszę przyznać, że przy kilku próbach jego użycia - zatrzymałem się. Miałem wątpliwości, do którego momentu aplikacja dany punkt jeszcze spełnia, a kiedy już nie. Oczywiście, jeśli "laurka bezpieczeństwa" rzeczywiście ma być wyłącznie "laurką", wówczas te rozważania tracą sens. Tylko ja się nie podpiszę pod taką laurką, która poświadcza nie wiadomo co. To taka luźna refleksja w oderwaniu od tematu WAF :) Mon, 30 Nov 2009 18:22:34 +0100 https://archive.mroczna-zaloga.org/archives/772-guid.html#c1819 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#c1818 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=772 nospam@example.com (Przemek Skowron) Ogólnie zgadzam się z powyższymi. Występuje jeszcze sytuacja, w której WAF musi[1] być włączony i wtedy to powinien być aktywny :) IMHO testy powinny być prowadzone "z" i "bez" WAFa. "Z", bo konfiguracja WAF jednak trochę zmienia w kontekście całego systemu dostępnego przez aplikacje webową, "bez", bo czasami ktoś wpadnie na pomysł wyłączenia WAFa i fajnie wiedzieć czym to może skutkować. W zależności od rozwiązania zazwyczaj jest to filtrowanie danych wejściowych, rzadko np. enconding danych wyjściowych. Nie wiem jak dla Was, ale dla mnie to kupa frajdy testować WAFy. [1] - w jednym z wariantów zgodności z PCI DSS Pozdrawiam, -- Przemek Mon, 30 Nov 2009 17:45:51 +0100 https://archive.mroczna-zaloga.org/archives/772-guid.html#c1818 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#c1817 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=772 nospam@example.com (Arv) Zależy co chcemy (klient sobie życzy) przetestować. Jeżeli celem testów jest ocena bezpieczeństwa aplikacji to WAF warto wyłączyć. Ułatwi to test i być może zwiększy liczbę odnalezionych luk. Następnie można zaproponować ocenę w jakim stopniu aktualna konfiguracja WAF redukuje ryzyko. Jeżeli klient potrzebuje "laurkę bezpieczeństwa" wtedy trzeba testować z WAFem. Klient dostanie co chciał - potwierdzenie, że podanymi metodami/narzędziami nie udało się nic odnaleźć. Mon, 30 Nov 2009 10:20:13 +0100 https://archive.mroczna-zaloga.org/archives/772-guid.html#c1817 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#c1816 https://archive.mroczna-zaloga.org/archives/772-o-unikaniu-waf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=772 nospam@example.com (kravietz) To zależy kto i co testuje. Jeśli to jest test akceptacyjny przed odebraniem roboty to należy testować całość. Jeśli test jest w QA to lepiej testować bez firewalla bo wtedy rzeczywiście testuje się aplikację. WAF można potem włączyć na etapie powtórnego testowania po poprawkach - i tak niektóre rzeczy na niektórych platformach można naprawić tylko przy pomocy WAF. Mon, 30 Nov 2009 10:05:50 +0100 https://archive.mroczna-zaloga.org/archives/772-guid.html#c1816