Задай свой вопрос экспертам!

От кого: (paranoidchaos) Sw%00p aka Jerom
Категория: Безопасное программирование

Здравствуйте

хотел бы узнать - сравнивали ли вы вот эти две системы предотвращения атак в веб приложения.

если можно - поподробнее о плюсах и минусах.

Спасибо

От кого: (phoenix) Марсель Низамутдинов
Категория: Безопасное программирование

Здравствуйте!
1C-Bitrix WAF создан специально для защиты проектов на 1c-bitrix, он более глубоко интегрирован в систему.
Кроме того, модуль безопасности 1C-Bitrix, частью которого является проактивный фильтр, имеет много интересного функционала, аналоги которого отсутствуют в других системах. То есть можно сказать, что модуль безопасности 1C-Bitrix - это комплексное решение.
Если же говорить конкретно о проактивном фильтре, то он проходил стресс тестирование в прошлом году - http://www.securitylab.ru/news/384306.php
Кроме того, его тестировала Positive Technologies.
Это было год назад. А с тех пор появилось много нового интересного функционала.
Также, следует отметить, что 1C-Bitrix WAF является частью битрикса. И его можно использовать только в проекте созданном на 1C-Bitrix.

От кого: (paranoidchaos) Sw%00p aka Jerom
Категория: Безопасное программирование

Ещё раз здравствуйте

Я провел небольшой тест PHP-IDS и сразу скажу я остался не доволеню Одними регулярными выражениями предотвращать web ориентированные атаки невозможно так как очень много случаев ложного срабатывания/ Мне пришлось все рулы относящиеся к XSS и ему подобным типам атак/ Потомучто очень много он срабатывал ложно особенно если кодировка в запросах была другой. Пришлось выкинуть рул php-include так как во время проведения теста - был запрос в одной из переменных которой передавался реферер (&referer=http://securitylab.ru/index.php)/

Плюс небольшой минус в определении SQL инъекции запрос вида

&id=1+union+select+1/*

не детектился хотя есть два рула на проверку как попытки проведения так и на всякие коментные символы (/*) - в итоге не один не сработал

он сработал только в этом случае

&id=1+union+select+1,2/*

попытка проведения

пс: в итоге пришёл к выводу что нельзя слепо и глобальн о предотвращать такие атаки и правильно всё же в случае с !C-Bitrix WAF когда он встроен в само приложение.

Спасибо

От кого: (paranoidchaos) Sw%00p aka Jerom
Категория: Безопасное программирование

вот рул

(?:(?:\/|\\)+(bin|home|conf|usr|etc|proc|opt|sbin|local|dev|tmp|kern|boot|root|sys|system|windows|winnt|program|%[a-z_-]{3,
}%)(?:\/|\\))|(?:(?:\/|\\)+inetpub|localstart\.asp|boot\.ini)


а вот запрос ))

/modules/system/system-menus.css

и это называется

Detects specific directory and path traversal )))

От кого: (Pig killer) Александр Антипов
Категория: Безопасное программирование

Я не доверяю подобным решениям, как то что встроенно в битрикс, так и сторонним решениям. Если нет доверия к Web приложению, то есть простой и быстрый модуль mod_security, который работает на уровне Web  сервера, а не Web приложения, поэтому на Securitylab встроененое решение Bitrix не используется.
Не знаю проводили ли тесты по производительности, но как мне кажется mod_security должно работать на порядок быстрее PHP-IDS.

ДА и по хорошему я не очень понимаю почему вообще битрикс выпустил подобный модуль. Это лишь показывает что они не уверены в собственных программистах. Марсель какие твои мысли по этому поводу?

От кого: (paranoidchaos) Sw%00p aka Jerom
Категория: Безопасное программирование

На счёт производительности вы правы - конечно же быстрее.
И меня больше всего интересовал вопрос детектирования атак.

От кого: (phoenix) Марсель Низамутдинов
Категория: Безопасное программирование

> Марсель какие твои мысли по этому поводу?
В первую очередь мы не доверяем разработчикам сайтов на основе битрикса. Все таки, квалификация программистов битрикса на порядок выше, чем квалификация среднестатистического программиста, разрабатывающего сайт под битрикс.
Как показывает практика обращения в техподдержку, люди могут совершать самые банальные ошибки.
И после выпуска модуля безопасности битрикса, основная масса обращений в техподдержку, связанных со взломом сайтов, стала связана с заражением администратора сайта вирусом (а не взломам через web, как это было ранее)
Если сравнивать mod_security и модуль безопасности битрикса, то следует заметить, что мы, в нашем модуле не ограничились одним только сигнатурным подходам к детектирования атак со стороны web. Посмотрите функции модуля безопасности. Там уже и антивирус появился. И куча других примочек.
Но к сожалению, наш модуль безопасности и проактивный имеют свои ограничения к применению. Например на securitylab я бы, действительно, не рекомендовал включать проактивный фильтр, так как из за особенности контента (сайт посвящен информационной безопасности, а значит пользователи могут отправлять и примеры эксплоитов, злонамеренных скриптов и тп) может быть большое количество фалс-позитивных срабатываний модуля.
Кстати, mod_security, тоже наверняка фалс-позитивит?

От кого: (paranoidchaos) Sw%00p aka Jerom
Категория: Безопасное программирование

>>Например на securitylab я бы, действительно, не рекомендовал включать >>проактивный фильтр, так как из за особенности контента (сайт посвящен >>информационной безопасности, а значит пользователи могут отправлять и >>примеры эксплоитов, злонамеренных скриптов и тп) может быть большое >>количество фалс-позитивных срабатываний модуля.
>>Кстати, mod_security, тоже наверняка фалс-позитивит?

да, думаю тоже - как я понял он тоже сигнатурный

в данном случае надо аналитически определять, но это в свою очередь требует ресурсы (ну вроде хранить задетектированные попытки и выставлять баллы)