it-swarm-es.com

Tema de tesis de maestría - mod_security

He estado jugando con mod_security durante algún tiempo y me gustaría usarlo de alguna manera en mi tesis de maestría. No sé exactamente cómo este trabajo podría ser más interesante que describir qué hace mod_security, qué tipo de ataques web se pueden prevenir usándolo, cuáles son otras funciones del mismo (como analizar si las solicitudes son realmente HTTP, analizar XML). Prefiero no centrarme en esta herramienta en particular, sino crear algún sistema que asegure, por ejemplo, algunos tipos específicos de sitios web. ¿Qué podría hacerlo más parecido a una investigación? ¿Alguna pista por favor?

7
cradox23

Tal vez considere la posibilidad de crear o aplicar análisis avanzados a la actividad de las aplicaciones web para perfilar los usuarios con el fin de identificar una actividad potencialmente mala. Construya sobre los resultados de ModSecurity y pruebe algoritmos/modelos que faciliten que un equipo de operaciones de seguridad comprenda rápidamente qué actividad está haciendo un usuario en particular y por qué puede ser hostil (hablando más allá de informar eventos atómicos simples).

Realice una búsqueda en Amazon de "seguridad de aprendizaje automático" o "seguridad de minería de datos" y encuentre libros, por ejemplo, como Técnicas estadísticas para la seguridad de la red: detección y protección de intrusiones basadas en estadísticas modernas http://www.Amazon.com/gp/product/159904708X/ref=wms_ohs_product e investigue qué técnicas descritas en esos libros pueden mejorar la seguridad de las aplicaciones web. Parece haber una forma casi infinita de mezclar y combinar algoritmos: su investigación podría resultar en nuevas formas de combinar algoritmos existentes para producir mejores resultados.

La lectura de la entrada del blog de Robert Hansen sobre análisis forense de registros web puede generar ideas adicionales: http://ha.ckers.org/blog/20100613/web-server-log-forensics-app-wanted/

3
Tate Hansen

Si aún no lo ha mirado, el Proyecto de conjunto de reglas básico de OWASP Modsecurity , tiene un trabajo interesante en Modsecurity.

1
Rory McCune

Quizás, en lugar de solo mirar lo que hace y lo que previene, considere echar un vistazo a lo que no hace y lo que no puede prevenir.
A partir de ese momento, es posible que desee considerar la posibilidad de examinar genéricamente todos los firewalls de aplicaciones web y lo que es posible (y lo que no) bloquear con las tecnologías actuales, tal vez desglosados ​​según las diferentes clases de motores.
P.ej. ModSecurity es puramente sintáctico, a diferencia de p. Ej. Imperva que es conductual (o al menos afirma serlo). Cada tipo de motor podría detectar y bloquear hipotéticamente diferentes tipos de ataques. Y es completamente impotente con respecto a los demás.

1
AviD

Mi respuesta va en línea con AviD : lo que sería interesante (para mí al menos: D) es mostrar si mod_security tiene algún valor agregado cuando el exploit real no es un parámetro de entrada, sino que se ingresa a través de un archivo. Por ejemplo, un archivo txt que contiene javascript malicioso. IE los navegadores (ciertas versiones) intentan ejecutarlo independientemente de la especificación de que es un archivo txt ya que verifica el MIME. Así que diría que considere esto como una opción, ¿por qué no?

1
Phoenician-Eagle

Comience leyendo la literatura académica en esta área, para comprender el trabajo que se ha realizado hasta ahora y dónde se encuentra el estado de la técnica. Puede comenzar revisando los procedimientos de RAID, DIMVA y Usenix Security para encontrar documentos que suenen relevantes para su interés. Lea esos artículos, los artículos que citan (si suenan relevantes) y los artículos que los citan (si suenan relevantes; Google Scholar y Citeseer son sus amigos, para ayudarlo a encontrar qué cita qué). Eso debería darle una buena idea de dónde están las brechas en el estado de la técnica.

Además, le recomiendo que hable de esto con su asesor de investigación. Es el trabajo de su asesor ayudarlo a seleccionar un proyecto de maestría que avance en el estado del arte y que se encuentre en su área aproximada de interés.

1
D.W.