WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs)
Autor(a) principal: | |
---|---|
Data de Publicação: | 2021 |
Tipo de documento: | Trabalho de conclusão de curso |
Idioma: | por |
Título da fonte: | Repositório Institucional da UNIPAMPA |
Texto Completo: | http://dspace.unipampa.edu.br:8080/jspui/handle/riu/5614 |
Resumo: | Falhas de segurança em sistemas web são perigosas e recorrentes. Estatísticas apontam que até 90% das aplicações disponibilizadas na Internet podem possuir algum tipo de vulnerabilidade de software. Garantir a segurança desses sistemas online é crucial e pode contribuir para evitar prejuízos financeiros e vazamento de dados. Esse assunto merece especial atenção com a entrada em vigor de leis como a Lei Geral de Proteção de dados (LGPD). Entretanto, proteger as aplicações online não é simples. Estudos indicam que estratégias como frameworks de desenvolvimento podem ajudar a proteger o sistema de até 60% das vulnerabilidades mais frequentes na web. Similarmente, estatísticas indicam também que Web Application Firewall (WAF) podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Neste trabalho, propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A ferramenta permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades dos sistemas web. Com o auxílio da WAFCheck e de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, realizamos a avaliação dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF. Os resultados indicam que os WAFs avaliados, em configuração padrão, podem apresentar uma taxa de detecção de cerca de 70% dos ataques. Entretanto, um grande número de regras ativas no WAF pode impactar de sobremaneira (e.g., aumentar em mais de 2685%) a latência das requisições aos sistemas web. |
id |
UNIP_fe69abafbfe8205733b9ab38327ee25d |
---|---|
oai_identifier_str |
oai:repositorio.unipampa.edu.br:riu/5614 |
network_acronym_str |
UNIP |
network_name_str |
Repositório Institucional da UNIPAMPA |
repository_id_str |
|
spelling |
Kreutz, DiegoFiorenza, MaurícioMelchior, Felipe Homrich2021-05-31T15:18:31Z2021-05-282021-05-31T15:18:31Z2021-05-07MELCHIOR, Felipe Homrich. WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs). Orientador: Diego Kreutz. 2021. 42p. Trabalho de Conclusão de Curso (Bacharel em Ciência da computação) - Universidade Federal do Pampa, Curso de Ciência da computação, Alegrete, 2021.http://dspace.unipampa.edu.br:8080/jspui/handle/riu/5614Falhas de segurança em sistemas web são perigosas e recorrentes. Estatísticas apontam que até 90% das aplicações disponibilizadas na Internet podem possuir algum tipo de vulnerabilidade de software. Garantir a segurança desses sistemas online é crucial e pode contribuir para evitar prejuízos financeiros e vazamento de dados. Esse assunto merece especial atenção com a entrada em vigor de leis como a Lei Geral de Proteção de dados (LGPD). Entretanto, proteger as aplicações online não é simples. Estudos indicam que estratégias como frameworks de desenvolvimento podem ajudar a proteger o sistema de até 60% das vulnerabilidades mais frequentes na web. Similarmente, estatísticas indicam também que Web Application Firewall (WAF) podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Neste trabalho, propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A ferramenta permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades dos sistemas web. Com o auxílio da WAFCheck e de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, realizamos a avaliação dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF. Os resultados indicam que os WAFs avaliados, em configuração padrão, podem apresentar uma taxa de detecção de cerca de 70% dos ataques. Entretanto, um grande número de regras ativas no WAF pode impactar de sobremaneira (e.g., aumentar em mais de 2685%) a latência das requisições aos sistemas web.Security breaches in web systems are dangerous and recurring. Statistics indicate that up to 90% of applications on the Internet may have software vulnerabilities. Ensuring the security of these online systems is crucial and can help prevent financial loss and data leakage. This issue deserves special attention with the enforcement of laws such as the General Data Protection Law (LGPD). However, protecting online applications is not an easy task. Studies indicate that software development frameworks can help protect systems against attacks exploring up to 60% of the most frequent vulnerabilities on the web. Similarly, statistics also suggest that a Web Application Firewall (WAF) can contribute to mitigating the exploitation of more than 70% of vulnerabilities in web systems. In this work, we propose the WAFCheck tool to assist in the latency, load, and accuracy detection tests for WAFs. The tool allows the insertion and evaluation of different sets of payloads, which are used to exploit vulnerabilities in web systems. Using WAFCheck and payloads of the ten most recurring vulnerabilities according to OWASP, we evaluated four free WAFs, namely, ModSecurity, Naxsi, ShadowD, and xWAF. Our findings suggest that free WAFs, in standard configuration, achieve a nearly 70% detection rate. However, a large number of active rules in the WAF can greatly impact (e.g., increase by more than 2685%) the latency of requests to web systems.porUniversidade Federal do PampaUNIPAMPABrasilCampus AlegreteCNPQ::CIENCIAS EXATAS E DA TERRACiência da computaçãoSegurança da informaçãoAplicações WebComputer scienceInformation securityWeb applicationsWAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs)info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/openAccessreponame:Repositório Institucional da UNIPAMPAinstname:Universidade Federal do Pampa (UNIPAMPA)instacron:UNIPAMPALICENSElicense.txtlicense.txttext/plain; charset=utf-81867https://repositorio.unipampa.edu.br/jspui/bitstream/riu/5614/2/license.txtba21f2de58f2bed282863187a61580ffMD52ORIGINALFelipe Homrich Melchior-2021.pdfFelipe Homrich Melchior-2021.pdfapplication/pdf653194https://repositorio.unipampa.edu.br/jspui/bitstream/riu/5614/1/Felipe%20Homrich%20Melchior-2021.pdfe84929d85785e4a260130dc219d7ff5fMD51TEXTFelipe Homrich Melchior-2021.pdf.txtFelipe Homrich Melchior-2021.pdf.txtExtracted texttext/plain60850https://repositorio.unipampa.edu.br/jspui/bitstream/riu/5614/3/Felipe%20Homrich%20Melchior-2021.pdf.txt5adf9df206b47a10e5355db32ed095f8MD53riu/56142021-06-01 03:05:46.86oai:repositorio.unipampa.edu.br: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Repositório InstitucionalPUBhttp://dspace.unipampa.edu.br:8080/oai/requestsisbi@unipampa.edu.bropendoar:2021-06-01T06:05:46Repositório Institucional da UNIPAMPA - Universidade Federal do Pampa (UNIPAMPA)false |
dc.title.pt_BR.fl_str_mv |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) |
title |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) |
spellingShingle |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) Melchior, Felipe Homrich CNPQ::CIENCIAS EXATAS E DA TERRA Ciência da computação Segurança da informação Aplicações Web Computer science Information security Web applications |
title_short |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) |
title_full |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) |
title_fullStr |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) |
title_full_unstemmed |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) |
title_sort |
WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs) |
author |
Melchior, Felipe Homrich |
author_facet |
Melchior, Felipe Homrich |
author_role |
author |
dc.contributor.advisor1.fl_str_mv |
Kreutz, Diego |
dc.contributor.advisor-co1.fl_str_mv |
Fiorenza, Maurício |
dc.contributor.author.fl_str_mv |
Melchior, Felipe Homrich |
contributor_str_mv |
Kreutz, Diego Fiorenza, Maurício |
dc.subject.cnpq.fl_str_mv |
CNPQ::CIENCIAS EXATAS E DA TERRA |
topic |
CNPQ::CIENCIAS EXATAS E DA TERRA Ciência da computação Segurança da informação Aplicações Web Computer science Information security Web applications |
dc.subject.por.fl_str_mv |
Ciência da computação Segurança da informação Aplicações Web Computer science Information security Web applications |
description |
Falhas de segurança em sistemas web são perigosas e recorrentes. Estatísticas apontam que até 90% das aplicações disponibilizadas na Internet podem possuir algum tipo de vulnerabilidade de software. Garantir a segurança desses sistemas online é crucial e pode contribuir para evitar prejuízos financeiros e vazamento de dados. Esse assunto merece especial atenção com a entrada em vigor de leis como a Lei Geral de Proteção de dados (LGPD). Entretanto, proteger as aplicações online não é simples. Estudos indicam que estratégias como frameworks de desenvolvimento podem ajudar a proteger o sistema de até 60% das vulnerabilidades mais frequentes na web. Similarmente, estatísticas indicam também que Web Application Firewall (WAF) podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Neste trabalho, propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A ferramenta permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades dos sistemas web. Com o auxílio da WAFCheck e de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, realizamos a avaliação dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF. Os resultados indicam que os WAFs avaliados, em configuração padrão, podem apresentar uma taxa de detecção de cerca de 70% dos ataques. Entretanto, um grande número de regras ativas no WAF pode impactar de sobremaneira (e.g., aumentar em mais de 2685%) a latência das requisições aos sistemas web. |
publishDate |
2021 |
dc.date.accessioned.fl_str_mv |
2021-05-31T15:18:31Z |
dc.date.available.fl_str_mv |
2021-05-28 2021-05-31T15:18:31Z |
dc.date.issued.fl_str_mv |
2021-05-07 |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
format |
bachelorThesis |
status_str |
publishedVersion |
dc.identifier.citation.fl_str_mv |
MELCHIOR, Felipe Homrich. WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs). Orientador: Diego Kreutz. 2021. 42p. Trabalho de Conclusão de Curso (Bacharel em Ciência da computação) - Universidade Federal do Pampa, Curso de Ciência da computação, Alegrete, 2021. |
dc.identifier.uri.fl_str_mv |
http://dspace.unipampa.edu.br:8080/jspui/handle/riu/5614 |
identifier_str_mv |
MELCHIOR, Felipe Homrich. WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs). Orientador: Diego Kreutz. 2021. 42p. Trabalho de Conclusão de Curso (Bacharel em Ciência da computação) - Universidade Federal do Pampa, Curso de Ciência da computação, Alegrete, 2021. |
url |
http://dspace.unipampa.edu.br:8080/jspui/handle/riu/5614 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.publisher.none.fl_str_mv |
Universidade Federal do Pampa |
dc.publisher.initials.fl_str_mv |
UNIPAMPA |
dc.publisher.country.fl_str_mv |
Brasil |
dc.publisher.department.fl_str_mv |
Campus Alegrete |
publisher.none.fl_str_mv |
Universidade Federal do Pampa |
dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UNIPAMPA instname:Universidade Federal do Pampa (UNIPAMPA) instacron:UNIPAMPA |
instname_str |
Universidade Federal do Pampa (UNIPAMPA) |
instacron_str |
UNIPAMPA |
institution |
UNIPAMPA |
reponame_str |
Repositório Institucional da UNIPAMPA |
collection |
Repositório Institucional da UNIPAMPA |
bitstream.url.fl_str_mv |
https://repositorio.unipampa.edu.br/jspui/bitstream/riu/5614/2/license.txt https://repositorio.unipampa.edu.br/jspui/bitstream/riu/5614/1/Felipe%20Homrich%20Melchior-2021.pdf https://repositorio.unipampa.edu.br/jspui/bitstream/riu/5614/3/Felipe%20Homrich%20Melchior-2021.pdf.txt |
bitstream.checksum.fl_str_mv |
ba21f2de58f2bed282863187a61580ff e84929d85785e4a260130dc219d7ff5f 5adf9df206b47a10e5355db32ed095f8 |
bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
repository.name.fl_str_mv |
Repositório Institucional da UNIPAMPA - Universidade Federal do Pampa (UNIPAMPA) |
repository.mail.fl_str_mv |
sisbi@unipampa.edu.br |
_version_ |
1801849058394898432 |