Técnicas de evasión para WAFs

9

¿Existen técnicas documentadas para eludir el firewall de la aplicación web para probar las configuraciones de reglas WAF?

    
pregunta Ali Ahmad 09.08.2012 - 11:04
fuente

3 respuestas

12

Echa un vistazo a la investigación de Ivan Ristić . Fragmentos de abajo de su publicación en la blog de Qualys :

  

Hoy en Black Hat [2012] estamos anunciando un nuevo proyecto de investigación sobre la evasión a nivel de protocolo de los firewalls de aplicaciones web. Este tipo de evasión se centra en el funcionamiento de bajo nivel de los WAF, con el objetivo de explotar pequeñas diferencias en la forma en que los WAF perciben el tráfico y en cómo lo ven los servidores web y aplicaciones back-end. Si consigues que el WAF vea algo diferente de lo que ve el backend, tienes una oportunidad de evasión que posiblemente podría usarse para ejecutar cualquier tipo de ataque, sin detección.
  [...]
  Adjunto a esta publicación se encuentra nuestro documento de investigación que se enfoca en la ruta de solicitud, los parámetros y la evasión de datos múltiples / formulario. También se adjuntan las diapositivas de Black Hat talk que presentan la investigación. El conjunto de pruebas (una especie de kit de herramientas de investigación) se encuentra en el repositorio IronBee WAF Research en GitHub.

Evasión a nivel de protocolo de los firewalls de aplicación web v1.1 (18 de julio de 2012) .pdf

    
respondido por el Tate Hansen 10.08.2012 - 07:29
fuente
12

Puede ser difícil predecir cómo un WAF inspeccionará el tráfico porque las reglas y los métodos de WAF no están estandarizados y funcionan tan alto en la pila. Básicamente, está buscando puntos débiles en la detección y / o para dificultar al máximo la posibilidad de que un WAF interprete correctamente la comunicación enviada al objetivo.

Algunas técnicas que se pueden utilizar:

  • mayúsculas y minúsculas en las cadenas de ataque (utilizadas para omitir las configuraciones de expresiones regulares de WAF)
  • comentarios aleatorios en comandos SQL
  • codificación URI
  • fragmentación de paquetes

En un simple sistema WAF de cosecha propia que probé, derroté la protección de inyección SQL cambiando de

' OR 1=1 --

a

' OR foo=foo --

Sobre el tema de las herramientas, SQLMap y Havij son bien conocidos. El SQLMap scripts de evasión también puede proporcionar una visión más profunda de técnicas específicas de evasión de WAF.

Cualquier técnica de evasión de IPS también se puede aplicar a WAF.

    
respondido por el schroeder 09.08.2012 - 16:41
fuente
2
respondido por el Piotr Bratkowski 09.08.2012 - 12:28
fuente

Lea otras preguntas en las etiquetas