WAF не является основной мерой защиты - скорее профилактической.
В ретроспективе понятно, что стоило бы отключить данное правило. А лучше отключить сработки WAF на эндпоинты, куда пользователи отправляют текст статей или комментариев. Но заранее предусмотреть каждую мелочь - дело непростое.
В комментах пишут про некомпетентных безопасников, но, скорее всего, все еще прозаичнее - это дефолтное правило WAF, который установили в компании. В подавляющем большинстве приложений передача в запросе /etc/passwd, вероятнее всего, означает, что запросы исходят от хакера или исследователя безопасности, и срабатывание WAF будет вполне оправданно. Но в данном случае не учтена специфика приложения.
Было бы интересно узнать подробнее как вы использовали ChatGPT в обучении. Кажется, я пока использую LLM только как продвинутый поисковик и не получаю всех преимуществ.
HackTheBox это платформа для обучения и тренировки, а не для BugBounty. Кажется, не очень корректно ставить ее в опросе с другими BugBounty-платформами.
Что же такое WAF, если это не мера защиты?
WAF не является основной мерой защиты - скорее профилактической.
В ретроспективе понятно, что стоило бы отключить данное правило. А лучше отключить сработки WAF на эндпоинты, куда пользователи отправляют текст статей или комментариев. Но заранее предусмотреть каждую мелочь - дело непростое.
В комментах пишут про некомпетентных безопасников, но, скорее всего, все еще прозаичнее - это дефолтное правило WAF, который установили в компании. В подавляющем большинстве приложений передача в запросе /etc/passwd, вероятнее всего, означает, что запросы исходят от хакера или исследователя безопасности, и срабатывание WAF будет вполне оправданно. Но в данном случае не учтена специфика приложения.
Было бы интересно узнать подробнее как вы использовали ChatGPT в обучении. Кажется, я пока использую LLM только как продвинутый поисковик и не получаю всех преимуществ.
HackTheBox это платформа для обучения и тренировки, а не для BugBounty. Кажется, не очень корректно ставить ее в опросе с другими BugBounty-платформами.