Stručnjaci za sigurnost otkrili su napredne metode zaobilaženja vatrogasnih zidova web aplikacije (WAF) u velikoj mjeri, a također su uveli novi dodatak Burp Suite kako bi se olakšao ovaj proces.
Shubham Shah, suosnivač Assetnota i iskusni lovac na bugove, podijelio je rezultate, koji osvjetljavaju kako su trenutno raspoređivanja WAF-a i kako učinkovito zaobići njihovu zaštitu.
Shah je naglasio značajan pomak u WAF raspoređivanje u proteklih pet godina. Zbog zabrinutosti za troškove i upotrebljivost, WAF-ovi su u početku bili rezervirani za kritičnu imovinu.
Međutim, predio se promijenio, s zrelim kompanijama koje raspoređuju WAF-ove preko cijele površine napada, ponekad pokrivaju preko 20 000 sredstava s rješenjima poput Akamaija.
Ovo široko usvajanje zahtijeva nove strategije za lovce na glave i sigurnosne istraživače da se prilagode i nastave s identifikacijom ranjivosti.
Shah sugeriše da je umjesto stvaranja složenih korisnih opterećenja za zaobilaženje WAF-a bolje da se to učini jednostavnim. Naglasio je da se mnogi moderni WAF-ovi mogu zaobići bez potrebe za složenim tehnikama.
Umjesto toga, predložio je jednostavne metode fokusirane na način razmišljanja i metodologiju, a ne na promjenu korisnog opterećenja.
Čest nedostatak: Zatražite ograničenja veličine
Jedan od ključeva ranjivosti o kojem raspravlja Shah je granica veličine zahtjeva svojstvena mnogim WAF-ovima. Zbog ograničenja performansi, WAF-ovi obično pregledavaju samo dio tijela zahtjeva.
Na primjer, AWS WAF-ovi pregledavaju do 8 KB za Balance i AWS zaštitne zaštite AWS AppSync i do 64 KB za zaštitu CloudFront i API Gateway.
Slično tome, Azure i Akamai WAF imaju svoje granice veličine, često što dovodi do neočekivanih dijelova velikih zahtjeva. Taj se nedostatak može iskoristiti postavljanjem zlonamjernog korisnog opterećenja izvan granice inspekcije, zaobilazeći WAF.
Shah je predstavio sadfafples Burp Plugin olakšati eksploataciju ovih ograničenja veličine zahtjeva. Ovaj alat pojednostavljuje postupak automatskim postavljanjem zahtjeva za prekoračenje inspekcijskih ograničenja WAF-a.
Ovisno o vrsti sadržaja, dodatak ubacuje bezvrijedne podatke na položaj kursora, olakšavajući zaobilaženje WAF-a bez ručne intervencije. Na primjer, dodaje komentare u XML, bezvrijedne ključeve i vrijednosti u JSON-u i parametre smeća u podacima kodiranim URL-om.
Napredni alati i tehnike za WAF Bypass
Shah je također raspravljao o nekoliko naprednih alata i tehnika za zaobilaženje WAF-ova:
- IP rotacija: Proširenje Burp Suite-a koje rutira promet kroz više API kapija u različitim regijama, pomažući u izbjegavanju ograničavanja stopa.
- Fireprox: Generiše URL API gateway za upotrebu s alatima poput ffufa, osiguravajući da svaki zahtjev dođe iz novog IP-a.
- ShadowClone: Distribuiše zadatke na platformama za računanje bez servera poput AWS, GCP i Azure, pružajući visoku IP varijabilnost za zaobilaženje WAF-ova. Ovaj alat je posebno efikasan za skeniranje i testiranje ranjivosti velikih razmjera.
Pored iskorištavanja ograničenja veličine zahtjeva, Shah je istaknuo druge inovativne tehnike zaobilaženja:
- Prolaz preko WAF-a: Korištenje zajedničkih certifikata koje pružaju pružatelji WAF-a poput Cloudflare-a za postavljanje proksiranih veza s izvornim IP-om, učinkovito smanjujući postavke WAF-a na najniži nivo.
- H2C švercovanje: Leveraging HTTP / 2 Cleartext (H2C) švercovanje da zaobiđe ograničavanje stope i WAF kontrole, posebno u WAF-ovima na rezervne baze ili reverzne proxy.
Izvor: CyberSecurityNews