004. Web application firewalls: анализ логики обнаружения атак — Владимир Иванов


В докладе рассмотрены методы поиска путей обхода современных файрволов для веб-приложений, которые позволили автору найти в автоматическом режиме более 300 уязвимостей. Аудитория знакомится с методическим поиском способов обхода на примере открытых проектов ModSecurity 2 и 3, libinjection, PHPIDS (PHP-Intrusion Detection System), Comodo Web Application Firewall, QuickDefense — WAF. Докладчик рассказывает о памятке по безопасному использованию регулярных выражений, которую скоро выпустит OWASP. В завершение продемонстрирован способ эффективно использовать фаззинг для поиска путей обхода лексических технологий на примере токенайзеров.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.