Configuring Web Application Firewalls Based On Static Analysis of Applications Vulnerable to XXE attacks

Abstract

Angrep på web baserte applikasjoner og skyleverandører er en økende trussel. En av angrepsvektorene som kan brukes til dette formålet er XML External Entity (XXE). OWASP introduserte denne trusselen til deres oversikt i 2017. Den gikk da rett inn på fjerdeplass over mest kritiske sikkerhetsrisikoer. Dette angrepet kan gi tilgang til filer, tjenestenektangrep eller kjøring av scripts. En av metodene som brukes for å beskytte webapplikasjoner og webservere er en webapplikasjonsbrannmur (web application firewall). Dette brukes for å gjennomføre et skann av innkommende forespørsler for farlig aktivitet. Basert på hva webapplikasjonsbrannmuren finner, så vil den enten blokkere eller akseptere forespørselen. Lite forskning har blitt gjort på webapplikasjonsbrannmurens effektivitet mot forskjellige angrep. For XXE-angrep har det ikke blitt gjennomført noe forskning i det hele tatt. Det har heller ikke blitt gjennomført mye forskning som har fokusert på autokonfigurasjon av webapplikasjonsbrannmurene. Denne masteroppgaven ønsker å bidra til å øke denne kunnskapen. Dette gjøres ved å utforske en metodologi for autokonfigurasjon av regelsett for å beskytte en WAF mot XXE angrep. For å oppnå dette utvikles et verktøy for statisk analyse av kode ved bruk av abstrakte syntaks trær. Hvis verktøyet finner manglende sikkerhetsfunksjoner i koden, vil det legge til nye WAF-regler. For å teste reglene gjennomføres det testing på webapplikasjonsbrannmuren ModSecurity. Forskningen vil bidra med en ny metodologi for oppdagelse av XXE angrep i kildekode, et nytt verktøy for autokonfigurasjon av WAF basert på metodologien og et nytt datasett for WAF testing av XXE angrep. Fra testing av verktøyet så viser det en presisjon på 100% og en recall på 95.2% i verktøyets evne til å korrekt si om applikasjonen det tester mangler sikkerhetsfunksjoner eller ikke. Reglene satt av verktøyet hadde en presisjon og en recall på 100% når det kom til å beskytte mot XXE angrep. Oppgaven ser også nærmere på svakhetene i metodologien og svakheter i den nåværende beskyttelsen mot XXE angrep i ModSecurity.

Attacks on web applications and cloud providers is an increasing threat. One of the attack vectors which can be used for this purpose is XML External Entity (XXE). OWASP introduced this vulnerability to their list in 2017, and it instantly jumped in at fourth over most critical vulnerabilities. This attack can lead to retrieval of files, shutting down services or execution of scripts. A methodology used to protect web applications and web servers are web application firewalls. This is used to scan incoming requests for malicious activity and based on what they find, they either accept or deny that request. There is little research available into the effectiveness of web application firewalls against different vulnerabilities. For XXE attacks there have been no research at all. Additionally, there is little research focusing on how a WAF can be auto configured for different types of attacks. In this thesis the goal is to expand on this knowledge. This will be done by exploring a methodology to automatically configure the ruleset of a WAF to protect against XXE attacks. To accomplish this, a tool is developed to statically analyze source code using abstract syntax trees. Based on whether the tool can find missing security features in the source code, it will add new rules to combat the missing security features. To conduct evaluation of the tool the WAF ModSecurity is used. The research contributes with a novel methodology for detecting XXE attacks in source code, a novel tool based on the mentioned methodology and lastly a novel data set for testing WAF against XXE attacks. The evaluation of the tool shows a 100% precision and a 95.2% recall in its ability to detect whether an application is vulnerable or not. Additionally, the WAF-rules applied by the tool shows both a 100% precision and recall when defending against XXE attacks. The thesis also discusses the shortcomings of the methodology, and the shortcomings of current protection in ModSecurity.