F5 Waf Xss Protect konumuza geçmeden önce kısaca xss çeşitlerinden bahsetmek istiyorum.
XSS (Cross-Site Scripting)
Bir web uygulamasında html çıktılar arasına enjekte edilen istemci tabanlı bir saldırı biçimidir. Genel olarak siteler arası komut dosyası oluşturma ve yürütme olarak bilinen bu zaafiyet uygulama güvenliği aşamasında önemli bir saldırı yöntemi olarak kullanılmaktadır.
XSS Çeşitleri
1. Stored XSS: En tehlikeli XSS saldırısı olan bu türde saldırıya izin veren kod sunucuda tutulur ve otomatik olarak yürütülür. Web tarayıcıları basit seviyede ki zararlı kodların çoğunu engellemiş olsa da halen kullanılan kritik bir açıktır.Veri tabanlarında kayıtlı olan kalıcı zararlı kodlardır (Payload). Kalıcı bir Xss çeşididir. Fark edilmese sürekli çalışmaya açıktır.
2. Reflected XSS : Kalıcı değildir. Ziyaretçinin bir form giriş alanına veya bir internet adresine (URl: Uniform Resource Locator) istenilen verileri girmek yerine web tarayıcısının çalıştırabileceği JavaScript kodlarının girilmesi ile gerçekleşebilir.
3. DOM XSS: Web tarayıcıların çalışma anında yorumladığı her şeyi DOM kapsamaktadır. Sayfa kaynağında görüntülenmeyen zararlı kod sunucuya gönderilmediğinde, ancak tarayıcıda hemen çalıştırıldığında kullanılan bir yöntemdir.DOM (Document Object Model) ortamının değişmesine bağlı olarak zararlı kod çalıştırılır. Kalıcı veya geçici olabilir. DOM, web sayfasını oluşturan HTML ile programlama dilleri arasında bir standart meydana getirip, HTML yapısından bilgi alışverişinde bulunmasına yardımcı olur.
Konuyu fazlada uzatmadan asıl işimize geri dönelim F5 Waf Xss Protect sayesinde web uygulamalarımıza gelen xss ataklarını engellemek için daha önce eklemiş olduğumuz node,pool ve virtual serverler üzerinden ilerleyerek işlem yapabilirsiniz yada yeniden oluşturabilirsiniz. İşlemin nasıl yapılacağı hakkında fikriniz yoksa F5 BIG-IP Node,Pool ve Virtual Server Ekleme yazımı inceleyebilirsiniz.
Aşağıdaki resimlerde göreceğiniz gibi DVWA sunucumu henüz F5 Waf Xss Protect ile güçlendirmediğim için gelen xss atakları başarılı oluyor.
Şimdi F5 üzerinde gerekli işlemlerimizi tamamlayalım.
Security ›› Application Security : Security Policies : Policies List ›› Create New Policy adımlarını takip ederek yeni bir kural oluşturmaya başlıyoruz.
Kuralı ekledikten sonra gerekli testleri yapalım. Ben aynı xss payloadları kullanarak testimi yapıyorum siz isterseniz farklı payload kullanabilirsiniz hatta isterseniz kullandığınız payload encode ederekte test edebilirsiniz ben bu testleri yaptığım ve yazdığım policy nin başarılı bir şekilde çalıştığını gördüğüm için kısaca anlatmaya çalışıyorum.
Yazdığımız kural sayesinde artık uygulamamıza gelecek olan xss atak türleri başarısız olacak ve tüm işlemler loglanacaktır. Aşağıdaki resimlerde loglanan atak çeşitlerini ve header bilgilerini görebilirsiniz.
Logları incelemek için Security ›› Event Logs : Application : Requests ekranına gidiyoruz. Logların tümü bu ekranda listelendiği için sorgu parametlerini değiştirerek istediğimiz logları listeleye biliriz ben çok fazla sorgu olmadığı için tümü listeliyorum.
Yukarıdaki loglarda yapılan iki atağın ve atak ile ilgili bilgilerin yer aldığı ekrandan yola çıkarak hem öğrenme modu hemde irules ile farklı kurallarda geliştirebilirsiniz. F5 Waf Xss Protect yetenekleri bu kadarla sınırlı olmadığı gibi sürekli güncellenerek yeni geliştirilen payload listelerine karşı başarılı işler çıkarmaktadır.
İlerleyen süreçte elimden geldiğince tüm saldırı biçimleri ile ilgili yazmaya devam edeceğim.
Faydalı olması dileği ile.
F5 Waf Xss Protect Policy İşlemleri - Yorumlar
Yapılan Yorumlar
BENZER İÇERİKLERİlginizi çekebilecek diğer içerikler
F5 BIG-IP Teknik Özellikler 06 Kasım 2024
F5 BIG-IP OWASP Top 10 Uyumluluğu 13 Ağustos 2024
F5 BIP-IP Learning Mode 21 Temmuz 2024
F5 BIG-IP Persistence Profile İşlemleri 17 Kasım 2023
www.irfankocak.com
İrfan KOÇAK - Tüm Hakları Saklıdır