This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
Parents
  • To BrucekConvergent:
    9.001-18
    (I guess it's really about time to change my signing). [:)]

    To Sascha Paris:
    I don't know what test you have tried, but this test was very comprehensive.
    This Test does all kind of tests – including SQL Injection and XSS.
    In the end you also get a very detail report, including problematic cod lines from the site.
    Now I know that this web server - and the sit on it, are a bit problematic and poor written, and that is why WAF is so important.
    I have tried the same test on my webmail, and it seems fine, which show that maybe good or bad results, are depends on your site, and how protected it is on the first place.

    As Admin of a big system (about 500 computers) I always follow the two rules:
    1. Hope for the best and be prepared for the worst.
    2.  Assumption is the mother of all ****ups.

    When a lot of people depend on me, I must be 100% sure that WAF work as plans.
    It seems I'm going to get in touch with a security company so they will check it too.
  • To BrucekConvergent:
    9.001-18
    (I guess it's really about time to change my signing). [:)]

    To Sascha Paris:
    I don't know what test you have tried, but this test was very comprehensive.
    This Test does all kind of tests – including SQL Injection and XSS.
    In the end you also get a very detail report, including problematic cod lines from the site.


    Ok, I did the free trial an tested my URL (not IP) which also did a comprehensive check - took almost an hour...Don't know, if this was the same test. Trial offers only IP and URL for testing, where URL seems to to most stuff (Malware, Web, Networking tests).


    As Admin of a big system (about 500 computers) I always follow the two rules:
    1. Hope for the best and be prepared for the worst.
    2.  Assumption is the mother of all ****ups.


    That's a good policy - totally agree.

    Probably you should post some (anonymized) screenshots of your settings, and the codelines / attack infos, which seems to pass the WAF...

    Remote Troubleshooting withut information is also difficult [:D]
Reply
  • To BrucekConvergent:
    9.001-18
    (I guess it's really about time to change my signing). [:)]

    To Sascha Paris:
    I don't know what test you have tried, but this test was very comprehensive.
    This Test does all kind of tests – including SQL Injection and XSS.
    In the end you also get a very detail report, including problematic cod lines from the site.


    Ok, I did the free trial an tested my URL (not IP) which also did a comprehensive check - took almost an hour...Don't know, if this was the same test. Trial offers only IP and URL for testing, where URL seems to to most stuff (Malware, Web, Networking tests).


    As Admin of a big system (about 500 computers) I always follow the two rules:
    1. Hope for the best and be prepared for the worst.
    2.  Assumption is the mother of all ****ups.


    That's a good policy - totally agree.

    Probably you should post some (anonymized) screenshots of your settings, and the codelines / attack infos, which seems to pass the WAF...

    Remote Troubleshooting withut information is also difficult [:D]
Children
No Data