Académique Documents
Professionnel Documents
Culture Documents
EN APLICACIONES WEB
Cristian Cappo (ccappo@pol.una.py)
Facultad Politécnica - UNA
Firewall
GET /login.pl?user=http://hak.com/..
Tráfico HTTP
El firewall no puede
contrarrestar ataques que vienen
Puerto 80 en el contenido de los paquetes
HTTP (que es puerto abierto)
Ambiente monitoreado
Arquitectura general según CIDF (Common ID Framework) (DARPA/IETF)
HUBCONF 2012 - Detección de Intrusión por anomalía en aplicaciones web 34
Posicionamiento habitual de un IDS - web
Firewall
Servidor
App - Web
Servidor de Base
Web de datos
App - Web
IDS
Cliente
Web App - Web Servidor
Servidor de Base
Web App - Web de datos
Chequea la ocurrencia de :
=
seguido de uno o mas \n
seguido de < o su equivalente hex.
cero o mas /
seguido de > o su equivalente hex.
Detección de ataques web por signature
Inconvenientes (1)
Los desarrolladores asumen que los campos ocultos no
cambian. Por tanto no puede detectar si hubo o no
manipulación en estos campos.
http://www.nii.co.in/getorder.php?order_id=200406271
http://www.nii.co.in/getorder.php?order_id=200406272
http://www.nii.co.in/getorder.php?order_id=200406273
http://www.nii.co.in/getorder.php?order_id=200406274
Detección de ataques web por signature
Inconvenientes (3)
No es posible indicar una regla que pueda detectar
vulnerabilidades relacionados a la lógica de la aplicación.
Considere el siguiente ejemplo:
<scri<s<script>crip>>alert(document.cookie)
</scri</script>ip>
¿Qué debería hacer el detector?
5. Detección de ataques web por
anomalía
AnamalySco re w
mModels
m * (1 pm )
Sin ataque