Trustwave Web Application Firewall: эффективная защита web-приложений.
-
Upload
ngs-distribution -
Category
Technology
-
view
156 -
download
0
description
Transcript of Trustwave Web Application Firewall: эффективная защита web-приложений.
© 2013 Trustwave Holdings, Inc. ‹#›
TRUSTWAVE WAF
© 2014 NGS Distribution ‹#›
Типичная корпоративная сеть
Zone-Based Firewall • inside • DMZ • outside
© 2014 NGS Distribution ‹#›
Dynamic Packet Filtering a.k.a. Stateful Packet Inspection
App. server
соединение установлено
© 2014 NGS Distribution ‹#›
Это все к чему
• ACL, DPF, ZBPFW – это прекрасно • Закрытые порты – это правильно • Ощущение безопасности – это тоже очень хорошо • 100% взломов осуществляются внутри легитимной сессии
© 2014 NGS Distribution ‹#›
Как
Format string attack
HTTP Request Smuggling
Cross-User Defacement
Brute force attack
Binary planting
Resource Injection Content Spoofing
Javascript Injection
Overflow Binary Resource File
Double Encoding
XML external entity (XXE)
Broken Authentication and Session Management
Special Element Injection
HTTP Response Splitting
Cross Site History Manipulation (XSHM)
XPATH Injection
Cache Poisoning
PHP Injection Page Hijacking
Reflected DOM Injection Cross-Site Request Forgery (CSRF)
Server-Side Includes (SSI) Injection
Session hijacking attack
Cash Overflow
Buffer overflow attack
Reflected DOM Injection
Execution After Redirect (EAR)
Custom Special Character Injection
Path Manipulation
Repudiation Attack
Comment Injection Attack
Direct Dynamic Code Evaluation ('Eval Injection')
Unvalidated Redirects and Forwards
Path Traversal
Direct Static Code Injection
Account lockout attack
Asymmetric resource consumption (amplification)
Cross Frame Scripting
Сross Site Sсriрting (XSS)
© 2014 NGS Distribution ‹#›
Лучше один раз увидеть
© 2014 NGS Distribution ‹#›
Наша Катя громко плачет, уронила сервер патчем
© 2014 NGS Distribution ‹#›
Режимы развертывания
Out-of-Line
In-Line
© 2014 NGS Distribution ‹#›
Q & A
Спасибо за внимание!
© 2013 Trustwave Holdings, Inc. ‹#›
Web Application Firewall (WAF)