Tecniche di evasione per i WAF

Naviga le tue risposte
9

Esistono tecniche documentate per eludere il firewall delle applicazioni Web per testare le configurazioni delle regole WAF?

    
posta Ali Ahmad 09.08.2012 - 11:04
fonte

3 risposte

12

Dai un'occhiata alla ricerca di Ivan Ristić . Snippet di seguito dal suo post su blog Qualys :

Today at Black Hat [2012] we are announcing a new research project on protocol-level evasion of web application firewalls. This type of evasion focuses on the low level operation of WAFs, aiming to exploit little differences in how WAFs see traffic and how backend web servers and applications see it. If you get the WAF to see something different from what the backend is seeing, you have an evasion opportunity that could possibly be used to execute any attack type, without detection.
[...]
Attached to this post is our research paper that focuses on request path, parameter, and multipart/form-data evasion. Also attached are the Black Hat talk slides that introduce the research. The testing suite (a sort of a research toolkit) is in the IronBee WAF Research repository on GitHub.

Evasione a livello di protocollo dei firewall delle applicazioni Web v1.1 (18 luglio 2012) .pdf
Protocol- Livello di evasione dei firewall delle applicazioni Web (Ivan Ristic, Qualys, Black Hat USA 2012) SLIDES.pdf

    
risposta data 10.08.2012 - 07:29
fonte
12

Può essere difficile prevedere come un WAF ispezionerà il traffico perché le regole ei metodi WAF non sono standardizzati e funzionano così in alto nello stack. Fondamentalmente, stai cercando dei punti deboli nel rilevamento e / o per rendere il più difficile possibile per un WAF interpretare correttamente la comunicazione inviata al target.

Alcune tecniche che possono essere utilizzate:

  • caso misto in stringhe di attacco (utilizzato per le configurazioni regex WAF by-pass)
  • commenti casuali nei comandi SQL
  • Codifica URI
  • frammentazione dei pacchetti

In un semplice sistema WAF cresciuto in casa che ho testato, ho sconfitto la protezione di SQL injection passando da 

' OR 1=1 --

a 

' OR foo=foo --

Sull'argomento degli strumenti, SQLMap e Havij sono famosi. Gli script di evasione di SQLMap possono anche fornire una visione più approfondita delle tecniche di evasione WAF specifiche.

Qualsiasi IPS tecnica di evasione può anche essere potenzialmente applicata al WAF.

    
risposta data 09.08.2012 - 16:41
fonte
2

Potresti giocare con sqlmap:

Ignorare i firewall delle applicazioni Web con gli script di manomissione SQLMap

    
risposta data 09.08.2012 - 12:28
fonte

Leggi altre domande sui tag

Come inserire i dati in una tabella con sqlmap usando il comando sql-query Perché non sarebbe fantastico, se HTTP / 2 consentisse solo la comunicazione tramite TLS? [duplicare]