| dc.contributor.advisor | Li, Jingyue | |
| dc.contributor.author | Orlando, Kyle Richard | |
| dc.date.accessioned | 2021-11-04T18:21:56Z | |
| dc.date.available | 2021-11-04T18:21:56Z | |
| dc.date.issued | 2021 | |
| dc.identifier | no.ntnu:inspera:74730471:46733353 | |
| dc.identifier.uri | https://hdl.handle.net/11250/2828031 | |
| dc.description.abstract | Webapplikasjonsbrannmurer (WAF) har blitt stadig mer populært som et resultat av organisasjoners behov for å beskytte webapplikasjonene og tjenestene deres. En nyttig tilnærming til WAF-konfigurasjon kalles virtuell patching, hvor en eller flere WAF-regler raskt reduserer virkningene av et sikkerhetsproblem som ikke har blitt håndtert i applikasjonens kildekode. Men virtuell patching har en tendens til å kreve mye manuell konfigurasjon som kan bli et alvorlig sikkerhetsproblem dersom det gjøres feil. I denne oppgaven utforskes automatisk opprettelse av virtuell patcher ved hjelp av dynamiske og statiske metoder for sikkerhetstesting av applikasjoner. En del av denne masteroppgaven har vært å utvikle et verktøy kalt VPgen som legger til rette for å omforme resultatet av state-of-the-art dynamiske og statiske analyseverktøy til regler og direktiver som kan tolkes av en WAF. Effektiviteten av denne tilnærmingen til virtuell patching av to ulike sårbare webapplikasjoner blir vurdert og sammenlignet med ModSecurity, med dens Core Rule Set. Resultatene viser at i tillegg til å redusere konfigurasjonstiden kan automatisk virtuell patching, ved hjelp av sikkerhetstesting av applikasjoner, redusere antall falske positiver. | |
| dc.description.abstract | Web Application Firewalls (WAFs) have become increasingly popular as a result of organizations' need to protect their web applications and services. One useful approach to WAF configuration is called virtual patching, in which one or more WAF rules act to quickly mitigate a security vulnerability that has not yet been addressed in the web application's source code. However, virtual patches tend to require a lot of manual configuration, which can become a serious security issue itself when done improperly. In this thesis, automating virtual patch creation via dynamic and static application security testing methods is explored. A utility called VPgen is developed that facilitates taking the output from state-of-the-art dynamic and static analysis tools and transforming it into rules and directives that can be interpreted by a WAF. The effectiveness of this approach in virtually patching two different vulnerable web applications is assessed and compared against ModSecurity deployed with its Core Rule Set. The results show that in addition to reducing configuration time, automating virtual patching via application security testing can reduce the number of false positives. | |
| dc.language | eng | |
| dc.publisher | NTNU | |
| dc.title | Automating Virtual Patching via Application Security Testing Tools | |
| dc.type | Master thesis | |
