{"id":474,"date":"2021-06-06T21:51:06","date_gmt":"2021-06-07T00:51:06","guid":{"rendered":"http:\/\/vbrain.com.br\/?p=474"},"modified":"2021-06-07T10:40:13","modified_gmt":"2021-06-07T13:40:13","slug":"bloqueando-ataques-sql-injection-top-10-owasp-de-forma-simples-com-waf-no-avi-nsx-advanced-load-balancer-by-vmware","status":"publish","type":"post","link":"http:\/\/vbrain.com.br\/index.php\/2021\/06\/06\/bloqueando-ataques-sql-injection-top-10-owasp-de-forma-simples-com-waf-no-avi-nsx-advanced-load-balancer-by-vmware\/","title":{"rendered":"Bloqueando ataques SQL Injection (TOP 10 OWASP) de forma simples com WAF no AVI (NSX Advanced Load Balancer) by VMware"},"content":{"rendered":"

Ola pessoal,<\/p>\n

No \u00faltimo post (Bloqueando ataques com o IPS\/IDS do NSX-T (vbrain.com.br)<\/a> ), falei um pouco sobre como bloquear alguns tipos de ataques com a feature<\/em> de IDS\/IPS do NSX-T.<\/p>\n

Hoje, farei um post falando um pouco da feature<\/em> de WAF (Web Application Firewall) presente no AVI – NSX Advanced Load Balancer) da VMware, o intuito aqui \u00e9 mostrar como \u00e9 simples bloquear algumas das vulnerabilidades mais conhecidas em ambientes WEB pelo AVI, ent\u00e3o, n\u00e3o espere aqui nenhum ataque avan\u00e7ado ou configura\u00e7\u00e3o manual de pol\u00edticas, o que queremos concluir aqui \u00e9 que com a configura\u00e7\u00e3o praticamente automatica do AVI ja \u00e9 poss\u00edvel bloquear dezenas de vulner\u00e1bilidades.<\/strong><\/p>\n

O NSX Advanced Load Balancer, formalmente conhecido como Avi, \u00e9 uma solu\u00e7\u00e3o da VMware para balanceamento de carga de aplica\u00e7\u00f5es, sejam elas Web ou n\u00e3o, e como costumeiramente encontrado em grandes ferramentas de Load Balancer, o AVI tamb\u00e9m possui feature <\/em>de WAF, o qual pode ser utilizada para bloquear os mais diversos tipos de ataques e vulnerabilidades encontradas em aplica\u00e7\u00f5es Web.<\/p>\n

Nos pr\u00f3ximos posts falaremos mais sobre o AVI, sua arquitetura e seus principais benef\u00edcios al\u00e9m de mais testes da feature <\/em>de WAF<\/p>\n

 <\/p>\n

\"Avi<\/p>\n

fonte : www.avinetworks.com.br<\/h6>\n

 <\/p>\n

Como aplica\u00e7\u00e3o Web vulner\u00e1vel, utilizarei novamente o DVWA (DamnVulnerable Web App), <\/strong>DamnVulnerable Web Application \u00e9 uma ferramenta desenvolvida em PHP\/MySQL que pode ser facilmente instalada em uma maquina virtual, a maioria das vulnerabilidades s\u00e3o classificadas como Top 10 vulnerabilidades encontradas pelo OWASP, essa ferramenta possui diversos tipos de vulnerabilidades Web e \u00e9 muito utilizada para aprendizado em cursos de pentest, e tamb\u00e9m para testes de ferramentas do tipo IPS, WAF, etc.<\/p>\n

No topo das vulnerabilidades classificadas pelo OWASP, est\u00e3o as vulnerabilidades por inje\u00e7\u00e3o SQL, de acordo com o pr\u00f3prio OWASP, ataques de SQL Injection<\/strong> consistem na inje\u00e7\u00e3o de query SQL <\/em>por imput de dados de um client \u00e0<\/em> uma aplica\u00e7\u00e3o, um SQL Injection Exploit pode ler dados sens\u00edveis de uma database<\/em>, modificar dados (Insert\/Update\/Delete), executar opera\u00e7\u00f5es em uma base de dados como administrador, como realizar o shutdown <\/em>do Banco entre outras vulnerabilidades.<\/p>\n

Fonte: SQL Injection | OWASP<\/a><\/p>\n

M\u00e3os \u00e0 obra, utilizarei a mesma imagem DVWA utilizada no post sobre IDS\/IPS.<\/p>\n

A primeira a\u00e7\u00e3o que faremos, \u00e9 configurar o n\u00edvel de seguran\u00e7a do DVWA como low profile:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Logo ap\u00f3s, faremos o primeiro teste de SQL Injection, no pr\u00f3prio menu do DVWA existe uma op\u00e7\u00e3o para tal, conforme o teste que fizemos no post de IDS\/IPS, iremos inserir no campo os valores “2 or 2 = 2” e ent\u00e3o clicar em Submit, veja que a vulnerabilidade foi explorada e dados sens\u00edveis s\u00e3o informados na tela.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Para esse teste, eu criei um Virtual Server simples no AVI, no pr\u00f3ximo post sobre a estrutura do AVI falaremos mais sobre isso, neste momento, existe apenas uma VS que encaminha todas as requisi\u00e7\u00f5es para um \u00fanico servidor DVWA, ou seja, n\u00e3o estamos testando aqui balanceamento de carga, o intuito \u00e9 apenas testes com WAF.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Dentro das configura\u00e7\u00f5es deste Virtual Server, em WAF Policy, utilizaremos uma policy que eu havia criado previamente, essa policy est\u00e1 configurada apenas como Detection <\/strong>por enquanto, ou seja, ataques e explora\u00e7\u00e3o de vulnerabilidades neste momento ser\u00e3o apenas gravadas nos logs.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

E ent\u00e3o, configuramos essa policy no Virtual Server do DVWA<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Veja que um s\u00edmbolo de escudo \u00e9 atrelado \u00e0 esse VS informando que agora temos pol\u00edticas de WAF atreladas ao VS:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Veja que na aba “WAF” do virtual server, j\u00e1 \u00e9 poss\u00edvel validar que um ataque por inje\u00e7\u00e3o SQL foi utilizado, informando aqui a assinatura que validou esse ataque, veja tamb\u00e9m que na parte de Tags, podemos ver algumas informa\u00e7\u00f5es interessantes como “OWASP_TOP_10” , ou seja, essa vulnerabilidade \u00e9 uma das Top 10 classificadas pelo OWASP.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Na aba de Logs tamb\u00e9m \u00e9 poss\u00edvel verificar mais informa\u00e7\u00f5es sobre o ataque, veja que nada foi bloqueado, apenas verificado que existe aqui uma vulnerabilidade sendo explorada (FLAGGED).<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Agora, voltando nas configura\u00e7\u00f5es da pol\u00edtica de WAF, vamos alterar de Detection <\/strong>para Enforcement<\/strong>, ou seja, agora queremos que todas as assinaturas habilitadas sejam bloqueadas quando a explora\u00e7\u00e3o das vulnerabilidades forem detectadas:<\/p>\n

\"\"<\/p>\n

Na aba assinaturas, eu validei que as assinaturas referentes \u00e0 SQL Injection (Core Rule Set CRS_942) <\/strong>est\u00e3o habilitadas.<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Agora, retornando ao DVWA, faremos novamente o mesmo testes de SQL Injection:<\/p>\n

\"\"<\/p>\n

 <\/p>\n

Veja que agora, quando clicamos em “Submit”, recebemos uma resposta com erro 403 vindo do AVI:<\/p>\n

\"\"<\/p>\n

Voltando a aba de Logs, veja que temos agora a informa\u00e7\u00e3o de que essa conex\u00e3o foi rejeitada (REJECTED):<\/p>\n

\"\"<\/p>\n

 <\/p>\n

\u00c9 isso pessoal, o intuito aqui foi mostrar de forma simples como \u00e9 f\u00e1cil bloquear uma das vulnerabilidades classificadas como Top 10 pelo OWASP no AVI.<\/p>\n

 <\/p>\n

At\u00e9 a pr\u00f3xima pessoal.<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Ola pessoal, No \u00faltimo post (Bloqueando ataques com o IPS\/IDS do NSX-T (vbrain.com.br) ), falei um pouco sobre como bloquear alguns tipos de ataques com a feature de IDS\/IPS do…<\/p>\n","protected":false},"author":1,"featured_media":497,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-474","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"jetpack_featured_media_url":"http:\/\/vbrain.com.br\/wp-content\/uploads\/2021\/06\/Avi-Acq.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=474"}],"version-history":[{"count":7,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/474\/revisions"}],"predecessor-version":[{"id":501,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/posts\/474\/revisions\/501"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media\/497"}],"wp:attachment":[{"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=474"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=474"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/vbrain.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}