חוקי WAF ושיטות עקיפה
Web Application Firewall (WAF) משמש כשומר אבטחה דיגיטלי עבור האתר שלך. הוא בוחן תעבורת HTTP כדי לעצור תוקפים לפני שהם מגיעים לאפליקציה שלך.
חומות אש (firewalls) מסורתיות מגנות על הרשת שלך. WAF מגן על אפליקציות האינטרנט הספציפיות שלך. הוא בוחן בקשות ותגובות כדי לזהות איומים כמו SQL Injection ו-Cross-Site Scripting (XSS).
איך WAF עובד:
- זיהוי מבוסס חתימה: חיפוש אחר תבניות מוכרות של קוד זדוני.
- זיהוי מבוסס אנומליות: סימון התנהגות חריגה, כמו עלייה פתאומית במספר הבקשות.
- זיהוי מבוסס מוניטין: חסימת תעבורה מכתובות IP רעות ידועות.
- ניתוח התנהגותי: חקר סשנים של משתמשים כדי למצוא כוונות זדוניות לאורך זמן.
WAF מספק גם:
- תיקון וירטואלי (Virtual Patching): חסימת ניצול פרצות אבטחה בזמן שאתה עובד על תיקון קבוע.
- הגבלת קצב (Rate Limiting): מניעת מתקפות brute-force על ידי הגבלת מספר הבקשות מכתובת IP בודדת.
- חסימת Geo-IP: עצירת תעבורה מאזורים גיאוגרפיים ספציפיים.
תוקפים משתמשים בשיטות חמקנות כדי לעקוף את השומרים הללו. עליך להכיר את הטקטיקות הבאות:
- קידוד והסוואה (Encoding and Obfuscation): תוקפים מסתירים מטען (payload) באמצעות קידוד URL, HTML, Base64 או Hex. זה גורם לקוד להיראות תקין עבור חוקים פשוטים.
- זיהום פרמטרים (HTTP Parameter Pollution - HPP): שליחת מספר פרמטרים עם אותו שם. זה מבלבל את האופן שבו ה-WAF והאפליקציה קוראים את הנתונים.
- פרגמנטציה (Fragmentation): פיצול מתקפה אחת לחלקים קטנים לאורך חלקים שונים של הבקשה.
- רגישות לאותיות גדולות/קטנות (Case Sensitivity): שינוי רישום האותיות במילות מפתח, כמו uNiOn sElEcT, כדי להתחמק ממסננים פשוטים.
- ניצול לוגיקה עסקית (Business Logic Exploitation): ניצול האופן שבו האפליקציה הספציפית שלך עובדת. ה-WAF עשוי לזהות בקשה תקינה, אך היא עדיין מהווה ניסיון גניבה.
איך להישאר מאובטחים:
- עדכן את ה-WAF שלך באופן קבוע כדי לזהות איומים חדשים.
- סקור את הלוגים (logs) שלך כדי למצוא תבניות חשודות.
- בצע כוונון (tuning) לחוקים שלך כדי לצמצם התראות שווא (false positives).
- השתמש באבטחה בשכבות. WAF הוא חלק אחד מאסטרטגיית הגנה רחבה יותר.
WAF הוא כלי חיוני, אך הוא אינו פתרון מלא. נדרשים ניטור וכוונון מתמידים כדי להישאר צעד אחד לפני התוקפים.
מקור: https://dev.to/godofgeeks/waf-web-application-firewall-rules-and-evasion-49p8