Un utilisateur Baleen peut, depuis la page "Paramétrage -> Pare-feu applicatif".:
Gérer le pare-feu applicatif
Le pare-feu applicatif est utilisé pour exécuter des règles en cas de requêtes entrantes ou sortantes détectées comme malveillantes.
Ces règles :
- Détectent un type de comportement
- Tracent dans des logs ce comportement jugé anormal
- Exécutent une action réponse/un type de comportement en retour (ex : blocage de la requête)
Les règles utilisées par Baleen sont les règles OWASP.
Le pare-feu applicatif est composé de trois états :
- Mode OFF : éteint (voir l'article Désactiver le Pare-feu applicatif)
- Mode ON : allumé (voir l'article Activer le Pare-feu applicatif)
- Mode écoute : la détection du comportement est activée, ainsi que son traçage dans des logs. L'éxécution de la réponse n'est quant à elle pas activée. (voir l'article Activer le mode écoute)
Il est recommandé de commencer par une activation du pare-feu en Mode écoute, afin de comprendre et analyser les différentes requêtes détectées comme malveillantes. Certaines requêtes peuvent être détectées comme tel alors que c'est un comportement souhaité.
Qu'est-ce que OWASP?
SQL Injection (SQLi)
L’injection SQL est une méthode d’attaque consistant à injecter un morceau de requête non prévu par un système dans une requête SQL afin d’en compromettre la sécurité.
Cross Site Scripting (XSS)
Les failles XSS permettent aux attaquants d’injecter un code malicieux dans une page, généralement sous la forme d’un script exécuté par le navigateur web, à des fins d’hameçonnage ou encore de vol de données.
Local File Inclusion (LFI)
Cette vulnérabilité permet à un attaquant de charger sur un serveur cible un script malicieux qui sera par la suite exécuté localement. Liée à une absence de validation de l’entrée fournie par l’utilisateur, cette vulnérabilité peut entraîner l’exploitation de code arbitraire ou le recours à d’autres attaques telles que XSS ou le déni de service.
Remote File Inclusion (RFI)
Cette vulnérabilité permet à un attaquant d'inclure un fichier distant, généralement par le biais d'un script sur le serveur web. La vulnérabilité est due à l'utilisation de l'entrée fournie par l'utilisateur sans validation adéquate.
PHP Code Injection
Les attaques par injection de code sont rendues possibles par un manque de validation des données fournies par les utilisateurs. Elles consistent en l’injection d’un code ayant vocation à être interprété ou exécuté par l’application.
HTTPoxy
La faille de sécurité HTTPOXY est utilisée pour l’interception de données et la réalisation d’attaques de type Man-In-The-Middle. Cette faille se retrouve notamment sur les applications basées sur le standard CGI (Common Gateway Interface) et ayant recours aux variables d’environnement système.
Shellshock
Aussi appelée Bashdoor, cette vulnérabilité est présente dans le shell Unix Bash. Elle permet à un attaquant d’exécuter des commandes arbitraires sur des versions Bash vulnérables.
Unix/Windows Shell Injection
Cette vulnérabilité web permet à un attaquant d’exécuter des commandes arbitraires liées au système d’exploitation sur lequel repose le serveur hébergeant une application. Elle est généralement utilisée pour compromettre l’application et ses données.
Session Fixation
La fixation de session est une attaque qui permet à un attaquant de détourner une session utilisateur valide. L'attaque explore une limitation dans la façon dont l'application web gère l'identifiant de session.
Metadata/Error Leakages
Ces vulnérabilités sont liées à une mauvaise gestion des erreurs. Le problème le plus courant se pose lorsque des messages d'erreur internes détaillés (tels que des traces, des codes d'erreur, etc.) sont affichés à l'utilisateur. Ces messages révèlent des détails de mise en œuvre qui peuvent fournir aux pirates des indices importants sur des failles potentielles du site.