¿Puede un WAF bloquear o detectar un archivo html creado y un script / shell PHP ofuscado?

Question

¿Puede un WAF bloquear o detectar un archivo html creado y un script / shell PHP ofuscado?

#1 de Ricardo Reimao (1 votos)

1

Lo que sucedió fue que la compañía de un amigo está usando el framework datke nuke datado. Se encontró una página html con 'hackeado por xxxx' cargada en el servidor web.

Al investigar, se determina que un webshell se cargó a través de la explotación de una vulnerabilidad y que la página html 'hackeado por xxxx' se 'creó' usando el shell web.

Técnicamente, el archivo html se creó y no se cargó. Lo único que se subió fue el shell web.

El sitio web tiene WAF en su lugar. Posiblemente un CDN (no recuerdo detalles).

La cosa es, WAF puede bloquear / detectar la creación / carga de archivos a través del shell web o simplemente lo trata como cualquier otra actividad de carga / descarga diaria.

Además, entiendo que WAF puede bloquear y detectar el shell web. Pero, ¿qué hay de los ofuscados?

webserver websites waf

pregunta Lester T. 02.02.2017 - 19:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas webserver websites waf

Robo de Facebook o ¿Código de verdad (no token) sin uso? Procesos de usuario de Windows ejecutándose como hijos de explorer.exe

score 1 · Answer 1

Todo depende de la configuración WAF y la tecnología WAF. Debido a que varias aplicaciones web tienen funciones de carga por naturaleza (por ejemplo, para cargar su CV en un sitio web de contratación), el WAF debe ajustarse para garantizar que solo se carguen los tipos de archivos que desea. He visto a muchos administradores de sistemas simplemente deshabilitando la opción de verificación de archivos en lugar de ajustarla, dejando la aplicación vulnerable a la carga de archivos maliciosos.

La mayoría de las soluciones WAF se basan en firmas, lo que significa que si el código del atacante es su propio archivo de shell inverso o realiza un trabajo de ofuscación muy bueno, probablemente el WAF no lo detectará. Por esta razón, es importante no confiar solo en el WAF, sino también adoptar una codificación segura.

Si realmente necesita tener funciones de carga de archivos en su sitio web, le recomiendo que revise esta guía que explica cómo codificar correctamente tu aplicación.