Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 21185 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Goldy_01
Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
Parents
  • 0
    Hi Sascha.

    OK:
    reason="WAF" = 325
    statuscode="403" = 3966
    statuscode="304" = 321
    statuscode="200" = 8267
    statuscode="404" = 1082
    statuscode="501" = 11
    statuscode="500" = 5

    Where can you see the explanation of all the statuscodes?
Reply
  • 0
    Hi Sascha.

    OK:
    reason="WAF" = 325
    statuscode="403" = 3966
    statuscode="304" = 321
    statuscode="200" = 8267
    statuscode="404" = 1082
    statuscode="501" = 11
    statuscode="500" = 5

    Where can you see the explanation of all the statuscodes?
Children
  • 0 in reply to Goldy_01
    Never Mind.
    I have got it... [:)]

    For anyone how might need it - see attached PDF document.

    status codes.zip
    status codes.zip
  • 0 in reply to Goldy_01
    Never Mind.
    I have got it... [:)]

    For anyone how might need it - see attached PDF document.

    [ATTACH]8640[/ATTACH]


    Hope it helped ;o)
  • 0 in reply to Goldy_01
    Hi Goldy,

    I just started to follow this thread and I´m curious if you´ll find out why your WAF didn´t block the attacks.

    I´m not sure if the HTTP status code will give you the clue what happend. Though Saschas example had a "403" IMHO it has no relation to the kind of attack/block.

    What you need is a direkt link between the findings from Qualys and your log file. From my point of view there will be a "200" code and it will be hard to find the corresponding attack in the logfile... but´s the only way to find out which test crossed your WAF.

    @ Sascha: in one of your early postings you mentioned that you tested "your" web application with Qualys as well - did you consider that you have a totally differen web application than Goldy, so you might be comparing "apples" with "pears"? :-)


    techno.kid
  • 0 in reply to techno.kid
    Hi Goldy,
    @ Sascha: in one of your early postings you mentioned that you tested "your" web application with Qualys as well - did you consider that you have a totally different web application than Goldy, so you might be comparing "apples" with "pears"? :-)
    techno.kid


    Hi techno.kid 
    You right.
    The result of a test has  allot to do in what kind of portal you are testing.
    (For example - no SQL in the portal - no SQL in the test results [:)] )

    Next week, I'm planing to arrange a session with a security company to check it out.
    I've also sent the report to Astaro to have a look at it.
    Maybe all is well and I'm just beeing paranoid, but I rather be sure about it…
  • 0 in reply to Goldy_01
    Do keep us apprised of what you find out, Goldy.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Unfiltered HTML