Как стать автором
Обновить
20.43
Вебмониторэкс
Платформа WAF и API Security

WAF: теория и практика. Часть 1. Отсекаем лишний трафик с помощью WAF

Уровень сложностиСредний
Время на прочтение1 мин
Количество просмотров2.8K

Очень часто вы можете обратить внимание что к вашим ресурсам поступают запросы, которых быть не должно, вы их и не ждете скажем так. Предположим, ваша API допускает работу с тремя методами запросов – GET, POST, PUT. Было бы логично заблокировать лишние запросы, чтобы снизить нагрузку и повысить безопасность. И это можно сделать с помощью собственных правил детекта, которые пользователи могут добавлять в нашем личном кабинете. Приведу пример такого правила:

Этим правилом с помощью регулярных выражений, описывающих метод запроса, мы указываем доступные методы запроса для всего нашего клиента (правило естественно можно уточнить для определенного URL, но мне лень).

И в результате получаем:

Блокировку запросов, не соответствующих нашим ожиданиям по методу запроса.

Это, кстати, к нам забегал сканер поиска Битрикса, на предмет проверки наличия уязвимой версии.

Все узнали эти URL?

На этом наше исследование применений регулярных выражений клиента не закончено, ждите наших новых статей. Покажем, как ограничивать поля ввода по содержимому, чтобы вместо номера телефона в базу не слали атаку ?

Подписывайтесь на канал. Здесь мы делимся информацией по продукту, нашими находками и наработками, пока они не оформляются в большой статический материал.

Теги:
Хабы:
Всего голосов 6: ↑4 и ↓2+4
Комментарии4

Публикации

Информация

Сайт
webmonitorx.ru
Дата регистрации
Дата основания
Численность
51–100 человек
Местоположение
Россия