Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 21179 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF - Intrusion simulation

Goldy_01
Hi to all.
For some time, I have been using WAF to protect my web mail and a Web site that supply some services to my clients.
Both are coming from my  internal servers, and the only way to connect to those servers is only thru WAF.
Everything seems to work great, and I was happy because it seems my servers are protected.
Yesterday I have decided to run Intrusion simulation on my Web site.  I used an external simulation test -  (Qualys FreeScan - Free Vulnerability Assessment Scanner Tool) .

The test took a while, and the result was VERY disturbing.
It seems that Astaro WAF fail to block: SQL Injection, Reflected Cross-Site Scripting (XSS) Vulnerabilities, and more.
All together the test found:
3 High Vulnerabilities
37 Medium Vulnerabilities
38 Low Vulnerabilities

Has anyone else here run any intrusion simulation test to check the efficiency of Astaro WAF?


This thread was automatically locked due to age.
  • 0 in reply to Goldy_01
    Hi Sascha.
    URL Hardening is a good practice, but not good in all cases.
    In my case, you can't use the portal for ordering, log in your personal profile, etc.
    There is no DNAT rule what so ever concerning this server or Portal.
    I've checked the log (about 40,000 records from the tests IP).
    All I could find is 5 "Blocked" records.
    I'm sending some info from my logs.
    Strangely, most attacks accrued on port 80, which supposed to be -  and according to my checking IS unreachable from the web.  (only  443).

    1.png

    2.png
  • 0 in reply to Goldy_01
    Hello Goldy

    Your Reporting shows tons of reconized attacks, and as your WAF Fireeallprofile is set to reject, the attacks therefor also should have been blocked.

    Probably the search for the term "block" in the logfile will not provide you the requested result ? A successful blocked SQL attack for example logs like this one in the logfile:


    2012:09:09-13:15:09 asg01 reverseproxy: srcip="195.x.x.x" localip="91.x.x.x" size="197" user="-" host="192.x.x.x" method="POST" statuscode="403" reason="waf" extra="Anomaly Score Exceeded (score 20): SQL Injection Attack" time="4879" url="/exchweb/bin/auth/owaauth.dll" server="asg01.zaphod.ch" referer="asg01.example.com/.../owalogon.asp


    This example above was triggered by the simple SQL injection attack below (simply enter the username admin into a login formfield and copy&paste the full password string into password and try to login - and you should see the WAF blockpage

    Username
    admin

    Password
    1234 ' AND 1=0 UNION ALL SELECT 'admin', '81dc9bdb52d04dc20036dbd8313ed055

    This "attack" is one sample out of the earlier in this thread posted SQL Injection Cheatsheet page. As I told, it can be fun to play around with the simple attacks [:D]

    Probably you better have to search in your logfile for 

    reason="WAF"

    or

    statuscode="403"

    to find the according mitigated attack loglines...

    Regards

    Sascha
  • 0
    Hi Sascha.

    OK:
    reason="WAF" = 325
    statuscode="403" = 3966
    statuscode="304" = 321
    statuscode="200" = 8267
    statuscode="404" = 1082
    statuscode="501" = 11
    statuscode="500" = 5

    Where can you see the explanation of all the statuscodes?
  • 0 in reply to Goldy_01
    Never Mind.
    I have got it... [:)]

    For anyone how might need it - see attached PDF document.

    status codes.zip
    status codes.zip
  • 0 in reply to Goldy_01
    Never Mind.
    I have got it... [:)]

    For anyone how might need it - see attached PDF document.

    [ATTACH]8640[/ATTACH]


    Hope it helped ;o)
  • 0 in reply to Goldy_01
    Hi Goldy,

    I just started to follow this thread and I´m curious if you´ll find out why your WAF didn´t block the attacks.

    I´m not sure if the HTTP status code will give you the clue what happend. Though Saschas example had a "403" IMHO it has no relation to the kind of attack/block.

    What you need is a direkt link between the findings from Qualys and your log file. From my point of view there will be a "200" code and it will be hard to find the corresponding attack in the logfile... but´s the only way to find out which test crossed your WAF.

    @ Sascha: in one of your early postings you mentioned that you tested "your" web application with Qualys as well - did you consider that you have a totally differen web application than Goldy, so you might be comparing "apples" with "pears"? :-)


    techno.kid
  • 0 in reply to techno.kid
    Hi Goldy,
    @ Sascha: in one of your early postings you mentioned that you tested "your" web application with Qualys as well - did you consider that you have a totally different web application than Goldy, so you might be comparing "apples" with "pears"? :-)
    techno.kid


    Hi techno.kid 
    You right.
    The result of a test has  allot to do in what kind of portal you are testing.
    (For example - no SQL in the portal - no SQL in the test results [:)] )

    Next week, I'm planing to arrange a session with a security company to check it out.
    I've also sent the report to Astaro to have a look at it.
    Maybe all is well and I'm just beeing paranoid, but I rather be sure about it…
  • 0 in reply to Goldy_01
    Do keep us apprised of what you find out, Goldy.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    of course.
    It would be also interesting to see results of other guys in here.
    I love Astaro, but it's good practice to check once in a while that WSWG.
    There's a lot of comparison tests in the internet about almost everything.
    Strangely I couldn't see any comparison tests about commercial UTMs, and Astaro.
  • 0
    My experience:

    Simply put, the WAF is swiss cheese. [:(]

    The two nice functions, URL & Form hardening seem unusable in most applications we tested.

    The SQLi and XSS signatures are very weak. We have a "hole" site with SQLi, XSS, directory traversal, parameter pollution, you name it.
    We could not enable the URL & Form hardening, so we enabled the SQLi and XSS protection, and while the WAF blocked some SQLi and XSS attempts, it did not do too much.
    With or without it was pretty much the same.

    Thanks,
    Adrian
Unfiltered HTML