WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs)

Melchior, Felipe Homrich

???jsp.display-item.identifier??? https://repositorio.unipampa.edu.br/jspui/handle/riu/5614

Tipo:	Trabalho de Conclusão de Curso
metadata.dc.title:	WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs)
Autor(es):	Melchior, Felipe Homrich
Primeiro Orientador:	Kreutz, Diego
Coorientador:	Fiorenza, Maurício
Resumo:	Falhas de segurança em sistemas web são perigosas e recorrentes. Estatísticas apontam que até 90% das aplicações disponibilizadas na Internet podem possuir algum tipo de vulnerabilidade de software. Garantir a segurança desses sistemas online é crucial e pode contribuir para evitar prejuízos financeiros e vazamento de dados. Esse assunto merece especial atenção com a entrada em vigor de leis como a Lei Geral de Proteção de dados (LGPD). Entretanto, proteger as aplicações online não é simples. Estudos indicam que estratégias como frameworks de desenvolvimento podem ajudar a proteger o sistema de até 60% das vulnerabilidades mais frequentes na web. Similarmente, estatísticas indicam também que Web Application Firewall (WAF) podem contribuir para mitigar a exploração de mais de 70% das vulnerabilidades de sistemas web. Neste trabalho, propomos a ferramenta WAFCheck para auxiliar nos testes de latência, carga e acurácia de detecção de WAFs. A ferramenta permite a inclusão e avaliação de conjuntos diversos de payloads, que são utilizados na exploração de vulnerabilidades dos sistemas web. Com o auxílio da WAFCheck e de payloads das dez vulnerabilidades mais recorrentes segundo a OWASP, realizamos a avaliação dos WAFs gratuitos ModSecurity, Naxsi, ShadowD e xWAF. Os resultados indicam que os WAFs avaliados, em configuração padrão, podem apresentar uma taxa de detecção de cerca de 70% dos ataques. Entretanto, um grande número de regras ativas no WAF pode impactar de sobremaneira (e.g., aumentar em mais de 2685%) a latência das requisições aos sistemas web.
Abstract:	Security breaches in web systems are dangerous and recurring. Statistics indicate that up to 90% of applications on the Internet may have software vulnerabilities. Ensuring the security of these online systems is crucial and can help prevent financial loss and data leakage. This issue deserves special attention with the enforcement of laws such as the General Data Protection Law (LGPD). However, protecting online applications is not an easy task. Studies indicate that software development frameworks can help protect systems against attacks exploring up to 60% of the most frequent vulnerabilities on the web. Similarly, statistics also suggest that a Web Application Firewall (WAF) can contribute to mitigating the exploitation of more than 70% of vulnerabilities in web systems. In this work, we propose the WAFCheck tool to assist in the latency, load, and accuracy detection tests for WAFs. The tool allows the insertion and evaluation of different sets of payloads, which are used to exploit vulnerabilities in web systems. Using WAFCheck and payloads of the ten most recurring vulnerabilities according to OWASP, we evaluated four free WAFs, namely, ModSecurity, Naxsi, ShadowD, and xWAF. Our findings suggest that free WAFs, in standard configuration, achieve a nearly 70% detection rate. However, a large number of active rules in the WAF can greatly impact (e.g., increase by more than 2685%) the latency of requests to web systems.
metadata.dc.subject:	Ciência da computação Segurança da informação Aplicações Web Computer science Information security Web applications
CNPQ:	CNPQ::CIENCIAS EXATAS E DA TERRA
Idioma:	por
metadata.dc.publisher.country:	Brasil
metadata.dc.publisher:	Universidade Federal do Pampa
Sigla da Instituição:	UNIPAMPA
Campus:	Campus Alegrete
metadata.dc.identifier.citation:	MELCHIOR, Felipe Homrich. WAFCheck: uma ferramenta para auxiliar na avaliação de Web Application Firewalls (WAFs). Orientador: Diego Kreutz. 2021. 42p. Trabalho de Conclusão de Curso (Bacharel em Ciência da computação) - Universidade Federal do Pampa, Curso de Ciência da computação, Alegrete, 2021.
Tipo de acesso:	Acesso Aberto
metadata.dc.identifier.uri:	http://dspace.unipampa.edu.br:8080/jspui/handle/riu/5614
metadata.dc.date.issued:	7-May-2021
???org.dspace.app.webui.jsptag.ItemTag.appears???	Ciência da Computação

???org.dspace.app.webui.jsptag.ItemTag.files???

???org.dspace.app.webui.jsptag.ItemTag.file???	???org.dspace.app.webui.jsptag.ItemTag.description???	???org.dspace.app.webui.jsptag.ItemTag.filesize???	???org.dspace.app.webui.jsptag.ItemTag.fileformat???
Felipe Homrich Melchior-2021.pdf		637.88 kB	Adobe PDF	???org.dspace.app.webui.jsptag.ItemTag.view???

???jsp.display-item.text2??? ???jsp.display-item.display-statistics???

???jsp.display-item.copyright???