
O Fernando Galves ( OWASP SP Chapter Leader ) explanou para o AssuntoNerd o fantástico resultado dos testes submetidos ao OWASP ModSecurity Core Rule Set (CRS) comparado as soluções de mercado com custos relativamente elevado ( principalmente para startups ).
Em tempos de GDPR, LPGD e Bacen 4658, a segurança deixou que ser assunto para apenas as grandes corporações. O problema começa quando nos deparamos com subscrições de alto valores (impraticáveis por STARUPS) para produtos de WAFs de Mercado.
Então Tuomo Makkonen e sua equipe efetuaram testes para mensurar a respectiva eficiência dos WAFS de mercado com Azure WAF com as Regras CRS importadas e devidamente configurada.
O que é OWASP ModSecurity CRS?
O OWASP ModSecurity Core Rule Set (CRS) é um conjunto de regras para detecção de ataques utilizada no ModSecurity ou WAF compatíveis. O CRS tem como finalidade Aplicativos da Web de uma ampla gama de ataques, incluso o Top Ten da OWASP, com um mínimo de alertas de falsos positivo.
O Core Rule Set fornece proteção para as categorias de ataque abaixo:
SQL Injection (SQLi) Cross Site Scripting (XSS) Local File Inclusion (LFI) Remote File Inclusion (RFI) Remote Code Execution (RCE) PHP Code Injection HTTP Protocol Violations | HTTPoxy Shellshock Session Fixation Scanner Detection Metadata/Error Leakages Project Honey Pot Blacklist GeoIP Country Blocking |
O TESTE:
Foi coletado diversos ataques e invasões reais. Estes ataques foram utilizados para testes de efetividade. Para uma maior clareza e/ou visibilidade a seguir as categorias dos ataques:
Execução de comando: Comandos injetados no aplicativo aplicativo por meio das entradas disponíveis utilizado para comprometer o sistema.
Injeção SSI (Server-Side Inclui): O ataque acontece no servidor quando a injeção de scripts em paginas HTML é explora no aplicativo Web.
Injeção SQL: O ataque mais popular, pois consiste na inserção um comando SQL por meio dos dados de entrada do aplicativo cliente.
Path Traversal: É um ataque dos ataques mais perigosos, pois permite o acesso não autorizado aos arquivos e diretórios armazenados fora da pasta raiz da aplicação web.
Cross-Site Scripting (XSS): Outor tipo de injeção, ao invés de comando são inseridos scripts dentro das páginas web. Sou seja, o atacaque insere scripts maliciosos em páginas caracterizadas confiáveis (assim permitindo sequestrar o acesso de usuários e administradores).
Resultado dos testes
Os resultados do teste são apresentados na tabela a seguir. Para surpresa de todos, o WAF do Azure utilizando as regras OWASP CRS 3.1 superou os demais com uma grande margem. E também demonstrou se o único que apresentou um desempenho uniforme em todo conjunto teste.

Conclusão:
O Azure WAF com as regras OWASP foi o vencedor e o único serviço com bom desempenho ao bloquear ataques do mundo real em BASEADO NOS TESTE mencionado anteriormente.
Fonte da Informação: https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e