Sem Grana para um WAF?! … Criando uma regra simples de Bloqueio de XSS no Fortigate.

Galera, neste post vamos ver como criar uma assinatura customizada de IPS, para detectar um ataque de XSS  em uma aplicação web atrás do Fortigate.

OBs: O melhor método de proteger aplicações WEB é o Fortiweb, mas, sabemos que nem sempre é possível a compra ou a mesma pode levar um tempo muito grande e estaremos vulnerável durante esse processo.

 

Chega de blah blah blah e vamos escovar uns bits rsrsrs.

Vamos ao problema:

Temos um site que é vulnerável a XSS em nosso ambiente, excluindo a possibilidade de alteração e correção da vulnerabilidade direta na aplicação, nos resta colocar algo na frente para corrigir o problema, a vulnerabilidade ocorre no campo de busca de nossa aplicação, acessível do mundo externo, a url vulnerável é :

http://ip_aplicacao/index.php?busca=

Fazendo um simples teste para checar a vulnerabilidade.

http://ip_aplicacao/index.php?busca=


Continue lendo “Sem Grana para um WAF?! … Criando uma regra simples de Bloqueio de XSS no Fortigate.”

Revista H2HC

Hoje saiu a 6 edição da Revista H2HC ED6_H2HC_MAGAZINE ( http://www.h2hc.com.br/revista) , que faz parte de um dos maiores eventos de Segurança da Informação o H2HC (Hacker to Hacker Conference).

Nesta edição temos 2 artigos de nossos Colaboradores o Rafael Willuveit Nosso Gerente de Projetos e William Costa, Consultor Sênior de SI.

Parabéns aos dois.

 

Pontos de vistas de pequenas e médias empresas sobre Segurança da Informação.

Após visitar e acompanhar o dia-a-dia de diversas empresas de pequeno e médio porte, tive a oportunidade de ver vários pontos de vistas sobre o gerenciamento da Segurança, desde a visão paranóica sobre o tema até mesmo a menor preocupação. O discurso da atualidade é o BYOD (http://en.wikipedia.org/wiki/Bring_your_own_device), porém boa parte das empresas não tem a estrutura para tratar um simples acesso externo como podem responder/tratar um dispositivo do qual não tem controle algum, muitos gestores são responsáveis por essa visão “míope” sobre a Segurança da Informação. Durante as atividades que realizo observo que muitos Gerentes acreditam que pelo fato te terem um Firewall não existe a necessidade de um WAF (WEB APPLICATION FIREWALL), outra vertente de Gestores, são aqueles que não acreditam em ter nada de valioso para se preocupar com a Segurança de seus ativos, porém os mesmos não tem a visão do Atacante, mesmo que não tenha nada de Informação/dados para se usar no submundo, apenas o poder de processamento e de banda das maquinas disponíveis em sua rede pode ser muito atraente, um estudo da Fortinet(http://www.fortinet.com/sites/default/files/whitepapers/Cybercrime_Report.pdf), mostra o quanto é rentável esse poder de processamento para os criminosos.
“Botnets & Rentals
[Direct Denial of Service (DDoS) $535 for 5 hours a day for one week], email spam ($40 / 20K emails) and Web spam ($2/30 posts)”.
Continue lendo “Pontos de vistas de pequenas e médias empresas sobre Segurança da Informação.”