WAF или не WAF? Дайте два! Решаем вопрос защиты веб-приложений

Всем привет. Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений. Уже больше 15 лет занимаюсь ИБ и три из них – защитой веб-приложений. За это время я часто сталкивался с неоднозначным отношением коллег к Web Application Firewall. В ИБ-сообществе мнения относительно защиты веб-приложений с помощью наложенных средств варьируются в диапазоне от «‎просто необходимы» до «нецелесообразная трата ресурсов, вполне можно обойтись встроенными средствами приложения». Кто же прав? Чем полезен WAF, и какие у него недостатки? Давайте разберемся. Предупреждаю: тема непростая, но felix, qui potuti rerum cogoscere causas.

https://habr.com/ru/companies/k2tech/articles/833170/

#waf #информационная_безопасность #атаки #защита_приложений

Защищаем приложение в облаке от DDoS-атак: взгляд со стороны провайдера и клиента

Любые опубликованные в интернете сервисы, службы и приложения (сайты, файловые хранилища, API, шлюзы) подвержены DDoS-атакам. Не важно, размещены они на вашем сервере или в облаке, их надо защищать. Я Руслан Корнев — эксперт по сервисам информационной безопасности в Читать дальше

https://habr.com/ru/companies/cloud_ru/articles/832412/

#защита_приложений #защита_информации #защита_от_ddos #защита_в_облаке #виды_ddosатак #защита_от_ddos_инструкция #защита_провайдера_от_ddos #защита_клиента_от_ddos

Некоторые аспекты позитивной и негативной моделей платформы «Вебмониторэкс»

Каждый новый специалист нашей практики Защиты приложений проходит нечто среднее между посвящением и стажировкой. Обычно в рамках задачи нужно развернуть уязвимое приложение, WAF одного из наших фокусных партнеров, а потом найти конкретную уязвимость, проэксплуатировать ее, посмотреть что видно на WAF в режиме мониторинга, а затем настроить WAF, чтобы он начал обнаруживать и блокировать данную уязвимость. Конечно, уязвимости при этом выбираются не такие, чтобы сразу по сигнатуре можно было бы ее обнаружить. В этой статье младший системный инженер “К2 Кибербезопасность” Даниил Золотарев поделится задачей, которая выпала ему. В ходе работы Даниилу пришлось защищать Juice Shop средствами платформы «Вебмониторэкс» и столкнуться с некоторыми аспектами негативной и позитивной моделей данного WAF. Далее мы рассмотрим примеры создания пользовательских правил, для блокировки атак Improper Input Validation (Неправильная проверка ввода). Таким образом наглядно продемонстрируем одну из ключевых возможностей WAF – закрытие дыр приложения в проде до фикса.

https://habr.com/ru/companies/k2tech/articles/809503/

#вебмониторэкс #waf #защита_приложений #juice_shop #кибербезопасность #тестирование_вебсервисов #web_security #тестирование_ит_систем #owasp