Reguły WAF i techniki omijania
Web Application Firewall (WAF) działa jak cyfrowy strażnik Twojej strony internetowej. Analizuje ruch HTTP, aby powstrzymać napastników, zanim dotrą oni do Twojej aplikacji.
Tradycyjne zapory sieciowe (firewalle) chronią Twoją sieć. WAF chroni konkretne aplikacje webowe. Analizuje on zapytania i odpowiedzi, aby wykryć zagrożenia takie jak SQL Injection czy Cross-Site Scripting (XSS).
Jak działają systemy WAF:
- Detekcja oparta na sygnaturach: Szuka znanych wzorców złośliwego kodu.
- Detekcja oparta na anomaliach: Flagiuje nietypowe zachowania, takie jak nagły wzrost liczby zapytań.
- Detekcja oparta na reputacji: Blokuje ruch z adresów IP o znanej złej reputacji.
- Analiza behawioralna: Analizuje sesje użytkowników, aby wykryć złośliwe zamiary w dłuższym czasie.
WAF-y zapewniają również:
- Wirtualne patchowanie (Virtual Patching): Blokuje próby wykorzystania podatności, podczas gdy pracujesz nad stałą poprawką.
- Ograniczanie liczby żądań (Rate Limiting): Zapobiega atakom typu brute-force poprzez ograniczanie liczby zapytań z pojedynczego adresu IP.
- Blokowanie Geo-IP: Powstrzymuje ruch z konkretnych regionów geograficznych.
Napastnicy stosują techniki omijania, aby ominąć tych strażników. Musisz znać te taktyki:
- Kodowanie i zaciemnianie (Obfuscation): Napastnicy ukrywają ładunki (payloads), używając kodowania URL, HTML, Base64 lub Hex. Sprawia to, że kod wygląda normalnie dla prostych reguł.
- HTTP Parameter Pollution (HPP): Wysyłają wiele parametrów o tej samej nazwie. Powoduje to zamieszanie w sposobie, w jaki WAF i aplikacja odczytują dane.
- Fragmentacja: Dzielą pojedynczy atak na małe części rozproszone w różnych fragmentach zapytania.
- Wrażliwość na wielkość liter: Zmieniają wielkość liter w słowach kluczowych, np.
uNiOn sElEcT, aby uniknąć prostych filtrów. - Wykorzystywanie logiki biznesowej: Wykorzystują sposób działania Twojej konkretnej aplikacji. WAF może uznać zapytanie za poprawne, mimo że w rzeczywistości jest to próba kradzieży.
Jak zachować bezpieczeństwo:
- Regularnie aktualizuj swój WAF, aby wykrywać nowe zagrożenia.
- Przeglądaj logi, aby znajdować podejrzane wzorce.
- Dostosowuj reguły, aby zmniejszyć liczbę fałszywych alarmów (false positives).
- Stosuj bezpieczeństwo warstwowe. WAF to tylko jeden element szerszej strategii obrony.
WAF to niezbędne narzędzie, ale nie jest to rozwiązanie kompletne. Aby wyprzedzić napastników, wymagane jest ciągłe monitorowanie i dostrajanie systemu.
Źródło: https://dev.to/godofgeeks/waf-web-application-firewall-rules-and-evasion-49p8