¿Las reglas anti-XSS de Firewall de aplicaciones web rompen la lógica empresarial?

6

He leído sobre los cortafuegos de aplicaciones web en un MOOC, y el ejemplo proporcionado es que WAF puede filtrar una solicitud como ?user=<script para evitar posibles ataques XSS.

Pero, ¿qué sucede si una página web de la aplicación permite ver el perfil de un usuario de forma similar a view_user?name=... (en lugar de basado en ID)? Podría establecer mi nombre en <script en el formulario de registro más o menos, y entonces, nadie podrá ver mi perfil, porque la página sería legítimamente view_user?name=<script y el WAF lo rechazará.

Este nombre de usuario suena extraño, pero puede ser una ventaja tener un perfil no accesible en algunas aplicaciones: como, en un juego en el que tienes que ver la página del jugador [o la página de una ciudad o la página de un personaje, etc.] para atacarlos, en un foro en el que necesites llegar a la página de un usuario para editarlos / prohibirlos, etc.

En términos más generales: ¿puede evitar los efectos secundarios de las reglas WAF que rompen la lógica de negocios? ¿Cómo?

    
pregunta Xenos 10.10.2017 - 11:14
fuente

1 respuesta

1

En un sentido general, los WAF son históricamente notorios por falsos positivos: emiten alertas sobre solicitudes legítimas cuando están en modo no bloqueado, y por ruptura de aplicaciones en el extremo, difíciles o imposibles de reproducir en entornos no productivos, cuando están bloqueando modo.

Como resultado, el espacio general se está alejando de las alertas específicas de la solicitud granular y de firma, que en realidad es responsabilidad de la aplicación, y se mueve más hacia el análisis de reputación, la detección de anomalías estadísticas y el suministro de inteligencia agrupada en torno al comportamiento de los actores de la amenaza.

    
respondido por el Jonah Benton 26.04.2018 - 21:15
fuente

Lea otras preguntas en las etiquetas