Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 21178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Goldy_01
Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
Parents
  • 0
    Goldy, just a note that your config did not have URL hardening selected, and Sascha specifically mentioned that that blocked most of the webscans.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Goldy, just a note that your config did not have URL hardening selected, and Sascha specifically mentioned that that blocked most of the webscans.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Goldy, just a note that your config did not have URL hardening selected, and Sascha specifically mentioned that that blocked most of the webscans.

    Cheers - Bob


    Upsi - I somehow overlooked the screenshots which was posted 2h before my post [;)]

    However, URL Hardening in best case only prevents XSS or SQL Injection (which was complained by goldy) indirectly on hidden or not meant for public access forms by dynamically blocking access to them. It's designed to block tons of other attacks...

    As the XSS and SQL Injection protection is checked on goldys configuration, it should theoretically work. The config looks good otherwise. Are there WAF logs at all ? Or is there probably a DNAT rule in place which overrides the WAF?

    @Goldy: Does your WAF logs or reporting shows blocked attacks?

    At least the Qualys scan report I received doesn't declare everywhere clearly, if a attack was successful. Sometimes it looked more informational and like "could be, but..."

    Probably it depends on what the scan gets back as result. Maybe it misinterprets the UTM blockpage on such attempts as (possible) successful attack ?

    Are there more informations available about which tests / attacks are expected as successful ? Would really wonder, as my experience up to now is good.

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
Unfiltered HTML