O Fernando Galves ( OWASP SP Chapter Leader ) explanou para o AssuntoNerd o fantástico resultado dos testes submetidos ao OWASP ModSecurity Core Rule Set (CRS) comparado as soluções de mercado com custos relativamente elevado ( principalmente para startups ).

Em tempos de GDPR, LPGD e Bacen 4658, a segurança deixou que ser assunto para apenas as grandes corporações. O problema começa quando nos deparamos com subscrições de alto valores (impraticáveis por STARUPS) para produtos de WAFs de Mercado.

Então Tuomo Makkonen e sua equipe efetuaram testes para mensurar a respectiva eficiência dos WAFS de mercado com Azure WAF com as Regras CRS importadas e devidamente configurada.

O que é OWASP ModSecurity CRS?

O OWASP ModSecurity Core Rule Set (CRS) é um conjunto de regras para detecção de ataques utilizada no ModSecurity ou WAF compatíveis. O CRS tem como finalidade Aplicativos da Web de uma ampla gama de ataques, incluso o Top Ten da OWASP, com um mínimo de alertas de falsos positivo.

O Core Rule Set fornece proteção para as categorias de ataque abaixo:

SQL Injection (SQLi) Cross Site Scripting (XSS) Local File Inclusion (LFI) Remote File Inclusion (RFI) Remote Code Execution (RCE) PHP Code Injection HTTP Protocol Violations

HTTPoxy Shellshock Session Fixation Scanner Detection Metadata/Error Leakages Project Honey Pot Blacklist GeoIP Country Blocking

O TESTE:

Foi coletado diversos ataques e invasões reais. Estes ataques foram utilizados para testes de efetividade. Para uma maior clareza e/ou visibilidade a seguir as categorias dos ataques:

Execução de comando: Comandos injetados no aplicativo aplicativo por meio das entradas disponíveis utilizado para comprometer o sistema.

Injeção SSI (Server-Side Inclui): O ataque acontece no servidor quando a injeção de scripts em paginas HTML é explora no aplicativo Web.

Injeção SQL: O ataque mais popular, pois consiste na inserção um comando SQL por meio dos dados de entrada do aplicativo cliente.

Path Traversal: É um ataque dos ataques mais perigosos, pois permite o acesso não autorizado aos arquivos e diretórios armazenados fora da pasta raiz da aplicação web.

Cross-Site Scripting (XSS): Outor tipo de injeção, ao invés de comando são inseridos scripts dentro das páginas web. Sou seja, o atacaque insere scripts maliciosos em páginas caracterizadas confiáveis (assim permitindo sequestrar o acesso de usuários e administradores).

Resultado dos testes

Os resultados do teste são apresentados na tabela a seguir. Para surpresa de todos, o WAF do Azure utilizando as regras OWASP CRS 3.1 superou os demais com uma grande margem. E também demonstrou se o único que apresentou um desempenho uniforme em todo conjunto teste.

Conclusão:

O Azure WAF com as regras OWASP foi o vencedor e o único serviço com bom desempenho ao bloquear ataques do mundo real em BASEADO NOS TESTE mencionado anteriormente.

Fonte da Informação: https://medium.com/fraktal/cloud-waf-comparison-using-real-world-attacks-acb21d37805e e https://blog.fraktal.fi/cloud-waf-comparison-part-2-e6e2d25f558c