Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 21174 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Goldy_01
Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
Parents
  • 0
    Hi Balfson.
    I've tried working with "URL hardening".
    When it's on, you can see the main web page of the portal, but you can't use it, so I was forced to disable it. 
    Never the less, SQL Injection and XSS shouldn't pass any way.
Reply
  • 0
    Hi Balfson.
    I've tried working with "URL hardening".
    When it's on, you can see the main web page of the portal, but you can't use it, so I was forced to disable it. 
    Never the less, SQL Injection and XSS shouldn't pass any way.
Children
  • 0 in reply to Goldy_01
    Hi Sascha.
    URL Hardening is a good practice, but not good in all cases.
    In my case, you can't use the portal for ordering, log in your personal profile, etc.
    There is no DNAT rule what so ever concerning this server or Portal.
    I've checked the log (about 40,000 records from the tests IP).
    All I could find is 5 "Blocked" records.
    I'm sending some info from my logs.
    Strangely, most attacks accrued on port 80, which supposed to be -  and according to my checking IS unreachable from the web.  (only  443).

    1.png

    2.png
  • 0 in reply to Goldy_01
    Hello Goldy

    Your Reporting shows tons of reconized attacks, and as your WAF Fireeallprofile is set to reject, the attacks therefor also should have been blocked.

    Probably the search for the term "block" in the logfile will not provide you the requested result ? A successful blocked SQL attack for example logs like this one in the logfile:


    2012:09:09-13:15:09 asg01 reverseproxy: srcip="195.x.x.x" localip="91.x.x.x" size="197" user="-" host="192.x.x.x" method="POST" statuscode="403" reason="waf" extra="Anomaly Score Exceeded (score 20): SQL Injection Attack" time="4879" url="/exchweb/bin/auth/owaauth.dll" server="asg01.zaphod.ch" referer="asg01.example.com/.../owalogon.asp


    This example above was triggered by the simple SQL injection attack below (simply enter the username admin into a login formfield and copy&paste the full password string into password and try to login - and you should see the WAF blockpage

    Username
    admin

    Password
    1234 ' AND 1=0 UNION ALL SELECT 'admin', '81dc9bdb52d04dc20036dbd8313ed055

    This "attack" is one sample out of the earlier in this thread posted SQL Injection Cheatsheet page. As I told, it can be fun to play around with the simple attacks [:D]

    Probably you better have to search in your logfile for 

    reason="WAF"

    or

    statuscode="403"

    to find the according mitigated attack loglines...

    Regards

    Sascha
Unfiltered HTML