Pull to refresh

Comments 7

Увы, в таких реалиях мы живем - даже максимально примитивные XSS как описал в начале статьи - не редкость)

Возможно, это потому, что данная атака является по своей сути "нативной", то есть если не защищаться от нее специально - она будет присутствовать. В то же время, если неправильно выставить защиту как та же CSP - они будут обходиться и мы будем снова возвращаться в исходной точке

Имел знакомство с WAF F5, как разработчик веб сервисов, которого «защищают».

В двух организациях последовательность действий была одинакова:

  1. Обучали

  2. Включили

  3. Какие-то странные ошибки. Ах, это WAF!

  4. Снова обучение

  5. Включение на 5 минут и затем снова переход в обучение

  6. Каждый месяц ситуация повторяется

  7. Режим вечного обучения

  8. Пришёл новый безопасник и решил включить в пятницу, ближе к 17:30

  9. Ты чё творишь? Сам будешь объяснительную писать, почему сервисы полчаса не работали

  10. ...

Иногда мне посылали отчёты всего то, что WAF в режиме обучения посчитал вредным, после недели такого спама эксперимент закончился.

Имел опыт администрирования бесплатного Snort-а и, исходя из тех отчётов кажется, что WAF F5, это Snort но за деньги.

Хороший WAF должен позволять работать сначала в режиме логирования, чтобы проверить всё затрачиваемое до начала реального реагирования

Ещё один кейс вам в копилку: как-то раз нашёл урл, который позволяет устанавливать значения кук гетом

WAF не было, но можно было прописать очень длинное значение

А т.к. у рядового пользователя по дефолту уже с килобайт кук, то навешивание ещё нескольких кб приводило к тому, что nginx основного приложения вместо красоты писал что-то вроде "too long headers"

Спасибо, довольно интересный кейс. У этой атаки даже название имеется - cookie bomb. Результат, в целом, такой же как и описывается в статье.

Она тоже не сильно популярна, но ее вот даже на bugbounty сдавали (по ссылке выше есть пример).

Sign up to leave a comment.

Articles