Da un pò di tempo mi arrovello sull'approccio "deny all, allow goodmembers" (whitelist), contro l'approccio "allow all, deny badmembers" (blacklist), applicati agli application firewall tipo Mod_Security per Apache.
Nell'approccio blacklist, ci sono infatti delle problematiche intrinseche, che consentono potenzialmente di bypassare le regole di diniego, sarebbe meglio un approccio integrativo di tipo whitelist.
E se insieme alle regole standard di blacklisting si dessero anche delle regole di whitelisting?

In che senso?
Supponiamo di avere un webbot o spider che faccia l'analisi completa del nostro sito web, e che questo spider ci estragga indirizzi nei quali sono presenti delle variabili.
Nella maggior parte dei casi tali variabili hanno valori numerici o alfanumerici o alfabetici.
Se il nostro spider estraesse i "tipi" di tali variabili e generasse delle regole da inserire nelle regole del firewall web, otterremmo una whitelist, che insieme alle solite componenti anti XSS e anti SQL Injection, ci darebbe un firewall sicuramente più completo.

Ebbene sto lavorando allo spiderino, che metterò sul sito appena sarà minimamente funzionante.

Comments:

No comments yet.

Comments are disabled

Admin login | This weblog is from www.mylittlehomepage.net

Wisec - Un'Idea sviluppata e mantenuta da...

Wisec è scritto e mantenuto da Stefano Di Paola.

Wisec usa standard aperti, inclusi XHTML, PHP e CSS2.