𝗪𝗔𝗙 𝗥𝘂𝗹𝗲𝘀 𝗮𝗻𝗱 𝗘𝘃𝗮𝘀𝗶𝗼𝗻
Tường lửa Ứng dụng Web (WAF) đóng vai trò như một người bảo vệ kỹ thuật số cho website của bạn. Nó kiểm tra lưu lượng HTTP để ngăn chặn kẻ tấn công trước khi chúng tiếp cận ứng dụng của bạn.
Các tường lửa truyền thống bảo vệ mạng của bạn. WAF bảo vệ các ứng dụng web cụ thể. Nó xem xét các yêu cầu (requests) và phản hồi (responses) để phát hiện các mối đe dọa như SQL Injection và Cross-Site Scripting (XSS).
Cách WAF hoạt động:
- Phát hiện dựa trên chữ ký (Signature-Based Detection): Tìm kiếm các mẫu mã độc đã biết.
- Phát hiện dựa trên sự bất thường (Anomaly-Based Detection): Gắn cờ các hành vi bất thường, chẳng hạn như sự gia tăng đột ngột của các yêu cầu.
- Phát hiện dựa trên danh tiếng (Reputation-Based Detection): Chặn lưu lượng truy cập từ các địa chỉ IP xấu đã biết.
- Phân tích hành vi (Behavioral Analysis): Nghiên cứu các phiên làm việc của người dùng để tìm ra ý đồ độc hại theo thời gian.
WAF cũng cung cấp:
- Vá lỗi ảo (Virtual Patching): Chặn các lỗ hổng khai thác trong khi bạn đang thực hiện bản vá vĩnh viễn.
- Giới hạn tốc độ (Rate Limiting): Ngăn chặn các cuộc tấn công brute-force bằng cách giới hạn số lượng yêu cầu từ một địa chỉ IP duy nhất.
- Chặn theo địa lý IP (Geo-IP Blocking): Chặn lưu lượng truy cập từ các khu vực địa lý cụ thể.
Kẻ tấn công sử dụng các kỹ thuật lẩn tránh để vượt qua các lớp bảo vệ này. Bạn phải nắm rõ các chiến thuật sau:
- Mã hóa và làm xáo trộn (Encoding and Obfuscation): Kẻ tấn công ẩn giấu các payload bằng cách sử dụng mã hóa URL, HTML, Base64 hoặc Hex. Điều này khiến mã trông có vẻ bình thường đối với các quy tắc đơn giản.
- Nhiễu loạn tham số HTTP (HTTP Parameter Pollution - HPP): Chúng gửi nhiều tham số có cùng tên. Điều này gây nhầm lẫn cho cách WAF và ứng dụng đọc dữ liệu.
- Phân mảnh (Fragmentation): Chúng chia nhỏ một cuộc tấn công thành các phần nhỏ nằm rải rác trong các phần khác nhau của một yêu cầu.
- Phân biệt chữ hoa chữ thường (Case Sensitivity): Chúng thay đổi kiểu chữ của các từ khóa, chẳng hạn như
uNiOn sElEcT, để tránh các bộ lọc đơn giản. - Khai thác logic nghiệp vụ (Business Logic Exploitation): Chúng khai thác cách thức hoạt động cụ thể của ứng dụng. Một WAF có thể thấy đó là một yêu cầu hợp lệ, nhưng thực chất đó vẫn là một nỗ lực đánh cắp dữ liệu.
Cách để duy trì bảo mật:
- Cập nhật WAF thường xuyên để bắt kịp các mối đe dọa mới.
- Xem lại nhật ký (logs) để tìm các mẫu hành vi đáng ngờ.
- Tinh chỉnh các quy tắc để giảm thiểu các trường hợp nhận diện nhầm (false positives).
- Sử dụng bảo mật đa lớp. WAF chỉ là một phần của một chiến lược phòng thủ lớn hơn.
WAF là một công cụ quan trọng, nhưng nó không phải là một giải pháp hoàn chỉnh. Việc giám sát và tinh chỉnh liên tục là cần thiết để luôn đi trước kẻ tấn công.
Source: https://dev.to/godofgeeks/waf-web-application-firewall-rules-and-evasion-49p8