Felipe Melchior, Maurício M. Fiorenza, Diego Kreutz
{"title":"WAFCheck:帮助测试Web应用程序防火墙(WAFs)的工具","authors":"Felipe Melchior, Maurício M. Fiorenza, Diego Kreutz","doi":"10.5753/sbseg_estendido.2021.17335","DOIUrl":null,"url":null,"abstract":"Estatísticas indicam que até 90% das aplicações disponibilizadas na Internet possuem algum tipo de vulnerabilidade de software. Estudos recentes apontam também que firewalls de aplicação, mais conhecidos como WAFs, podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Entretanto, determinar a capacidade e a qualidade de um WAF pode ser um desafio. Nós propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A WAFCheck permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades de sistemas web. Utilizando centenas de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, nós avaliamos o desempenho dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF, demostrando o funcionamento e a aplicabilidade da ferramenta.","PeriodicalId":102643,"journal":{"name":"Anais Estendidos do XXI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2021)","volume":"24 1","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2021-10-04","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":"{\"title\":\"WAFCheck: uma ferramenta para auxiliar nos testes de Web Application Firewalls (WAFs)\",\"authors\":\"Felipe Melchior, Maurício M. Fiorenza, Diego Kreutz\",\"doi\":\"10.5753/sbseg_estendido.2021.17335\",\"DOIUrl\":null,\"url\":null,\"abstract\":\"Estatísticas indicam que até 90% das aplicações disponibilizadas na Internet possuem algum tipo de vulnerabilidade de software. Estudos recentes apontam também que firewalls de aplicação, mais conhecidos como WAFs, podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Entretanto, determinar a capacidade e a qualidade de um WAF pode ser um desafio. Nós propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A WAFCheck permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades de sistemas web. Utilizando centenas de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, nós avaliamos o desempenho dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF, demostrando o funcionamento e a aplicabilidade da ferramenta.\",\"PeriodicalId\":102643,\"journal\":{\"name\":\"Anais Estendidos do XXI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2021)\",\"volume\":\"24 1\",\"pages\":\"0\"},\"PeriodicalIF\":0.0000,\"publicationDate\":\"2021-10-04\",\"publicationTypes\":\"Journal Article\",\"fieldsOfStudy\":null,\"isOpenAccess\":false,\"openAccessPdf\":\"\",\"citationCount\":\"0\",\"resultStr\":null,\"platform\":\"Semanticscholar\",\"paperid\":null,\"PeriodicalName\":\"Anais Estendidos do XXI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2021)\",\"FirstCategoryId\":\"1085\",\"ListUrlMain\":\"https://doi.org/10.5753/sbseg_estendido.2021.17335\",\"RegionNum\":0,\"RegionCategory\":null,\"ArticlePicture\":[],\"TitleCN\":null,\"AbstractTextCN\":null,\"PMCID\":null,\"EPubDate\":\"\",\"PubModel\":\"\",\"JCR\":\"\",\"JCRName\":\"\",\"Score\":null,\"Total\":0}","platform":"Semanticscholar","paperid":null,"PeriodicalName":"Anais Estendidos do XXI Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg Estendido 2021)","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.5753/sbseg_estendido.2021.17335","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}
WAFCheck: uma ferramenta para auxiliar nos testes de Web Application Firewalls (WAFs)
Estatísticas indicam que até 90% das aplicações disponibilizadas na Internet possuem algum tipo de vulnerabilidade de software. Estudos recentes apontam também que firewalls de aplicação, mais conhecidos como WAFs, podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Entretanto, determinar a capacidade e a qualidade de um WAF pode ser um desafio. Nós propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A WAFCheck permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades de sistemas web. Utilizando centenas de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, nós avaliamos o desempenho dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF, demostrando o funcionamento e a aplicabilidade da ferramenta.
求助内容:
应助结果提醒方式:
京公网安备 11010802042870号
