¿Existen técnicas documentadas para eludir el firewall de la aplicación web para probar las configuraciones de reglas WAF?
Echa un vistazo a la investigación de Ivan Ristić . Fragmentos de abajo de su publicación en la blog de Qualys :
Hoy en Black Hat [2012] estamos anunciando un nuevo proyecto de investigación sobre la evasión a nivel de protocolo de los firewalls de aplicaciones web. Este tipo de evasión se centra en el funcionamiento de bajo nivel de los WAF, con el objetivo de explotar pequeñas diferencias en la forma en que los WAF perciben el tráfico y en cómo lo ven los servidores web y aplicaciones back-end. Si consigues que el WAF vea algo diferente de lo que ve el backend, tienes una oportunidad de evasión que posiblemente podría usarse para ejecutar cualquier tipo de ataque, sin detección.
[...]
Adjunto a esta publicación se encuentra nuestro documento de investigación que se enfoca en la ruta de solicitud, los parámetros y la evasión de datos múltiples / formulario. También se adjuntan las diapositivas de Black Hat talk que presentan la investigación. El conjunto de pruebas (una especie de kit de herramientas de investigación) se encuentra en el repositorio IronBee WAF Research en GitHub.
Evasión a nivel de protocolo de los firewalls de aplicación web v1.1 (18 de julio de 2012) .pdf
Puede ser difícil predecir cómo un WAF inspeccionará el tráfico porque las reglas y los métodos de WAF no están estandarizados y funcionan tan alto en la pila. Básicamente, está buscando puntos débiles en la detección y / o para dificultar al máximo la posibilidad de que un WAF interprete correctamente la comunicación enviada al objetivo.
Algunas técnicas que se pueden utilizar:
En un simple sistema WAF de cosecha propia que probé, derroté la protección de inyección SQL cambiando de
' OR 1=1 --
a
' OR foo=foo --
Sobre el tema de las herramientas, SQLMap y Havij son bien conocidos. El SQLMap scripts de evasión también puede proporcionar una visión más profunda de técnicas específicas de evasión de WAF.
Cualquier técnica de evasión de IPS también se puede aplicar a WAF.
Puedes jugar con sqlmap:
Anulación de firewalls de aplicaciones web con SQLMap Tamper Scripts