𝗪𝗔𝗙 𝗥𝘂𝗹𝗲𝘀 𝗮𝗻𝗱 𝗘𝘃𝗮𝘀𝗶𝗼𝗻

Правила WAF та методи обходу

Web Application Firewall (WAF) діє як цифровий охоронець вашого вебсайту. Він перевіряє HTTP-трафік, щоб зупинити зловмисників до того, як вони досягнуть вашого додатка.

Традиційні брандмауери захищають вашу мережу. WAF захищає ваші конкретні вебдодатки. Він аналізує запити та відповіді, щоб виявляти такі загрози, як SQL-ін'єкції (SQL Injection) та міжсайтовий скриптинг (XSS).

Як працюють WAF:

• Виявлення на основі сигнатур: воно шукає відомі шаблони шкідливого коду.
• Виявлення на основі аномалій: воно позначає незвичну поведінку, наприклад, раптовий сплеск кількості запитів.
• Виявлення на основі репутації: воно блокує трафік із відомих шкідливих IP-адрес.
• Поведінковий аналіз: воно вивчає сесії користувачів, щоб виявити зловмисні наміри протягом певного часу.

WAF також забезпечує:

• Віртуальний патчинг (Virtual Patching): він блокує експлуатацію вразливостей, поки ви працюєте над постійним виправленням.
• Обмеження швидкості (Rate Limiting): воно запобігає атакам методом перебору (brute-force), обмежуючи кількість запитів з однієї IP-адреси.
• Гео-IP блокування: воно зупиняє трафік із певних географічних регіонів.

Зловмисники використовують методи обходу, щоб обійти цих «охоронців». Ви повинні знати ці тактики:

• Кодування та обфускація: зловмисники приховують корисне навантаження (payload), використовуючи URL, HTML, Base64 або Hex-кодування. Це змушує код виглядати звичайним для простих правил.
• Забруднення HTTP-параметрів (HTTP Parameter Pollution, HPP): вони надсилають кілька параметрів з однаковим ім'ям. Це заплутує процес зчитування даних WAF-ом та додатком.
• Фрагментація: вони розбивають одну атаку на маленькі частини, розподіляючи їх по різних частинах запиту.
• Чутливість до регістру: вони змінюють регістр ключових слів, наприклад, uNiOn sElEcT, щоб уникнути простих фільтрів.
• Експлуатація бізнес-логіки: вони використовують особливості роботи вашого конкретного додатка. WAF може сприйняти такий запит як валідний, але це все одно буде спробою крадіжки.

Як залишатися в безпеці:

• Регулярно оновлюйте свій WAF, щоб виявляти нові загрози.
• Переглядайте свої логи, щоб знаходити підозрілі патерни.
• Налаштовуйте свої правила, щоб зменшити кількість хибнопозитивних спрацювань (false positives).
• Використовуйте ешелоновану безпеку. WAF — це лише одна частина ширшої стратегії захисту.

WAF — це життєво важливий інструмент, але це не повне рішення. Для того, щоб випереджати зловмисників, необхідні постійний моніторинг та налаштування.

Джерело: https://dev.to/godofgeeks/waf-web-application-firewall-rules-and-evasion-49p8