Web Application Firewall (WAF) — это ключевой компонент системы безопасности веб-приложений, предназначенный для защиты от различных киберугроз, которые могут эксплуатировать уязвимости в коде или архитектуре приложения. Он анализирует запросы, направленные к веб-приложению, и фильтрует подозрительные действия, предотвращая широкий спектр атак.
Разная логика детектирования для различных атак
Как упомянуто в статье "Оса не проскочит: разбираемся в методиках тестирования и сравнения WAF", тестирование и защита от атак требуют различного подхода и логики решений в зависимости от типа угрозы. Атаки можно условно разделить на два блока:
Инъекции и атаки, связанные с модификацией данных в запросе: В этот блок входят SQL-инъекции (SQLi), NoSQL-инъекции (NoSQLi), атаки с использованием XML External Entities (XXE), Server-Side Request Forgery (SSRF), и другие подобные атаки. Для этих атак можно использовать сигнатуры и паттерны, что позволяет их детектировать на основе анализа одного запроса.
Поведенческие и логические атаки: Включают ошибки криптографии, уязвимости в дизайне, проблемы с аутентификацией, использование устаревших компонентов и проблемы с логированием. Эти атаки связаны с более сложной логикой работы приложений и могут потребовать создания специальных тестовых сценариев, настройки демо-стендов и комплексного тестирования для выявления уязвимостей.
Маппинг атак
Маппинг атак — это процесс сопоставления конкретных типов атак с методами защиты, применяемыми WAF. Это помогает в точном определении стратегии защиты и улучшении безопасности веб-приложений. Ниже приведена таблица, которая демонстрирует, как «ПроWAF», «ПроAPI Структура» и другие продукты компании Вебмониторэкс защищают от различных типов атак.
Таблица 1 – Маппинг атак по продуктам компании Вебмониторэкс
Тип атаки / условное обозначение | Детектируемость в «ПроWAF» и «ПроAPI Структура» | Наличие в иных продуктах компании Вебмониторэкс |
SQL injection (SQLi) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», Attack rechecker, WMX Scanner |
NoSQL injection (NoSQLi) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура». | «ПроAPI Тестирование» |
LDAP injection (LDAPi) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
XPath injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование» |
Command injection (RCE) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», Attack rechecker, WMX Scanner |
ORM injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Remote file inclusion (RFI) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», WMX Scanner |
Local file inclusion (LFI) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Directory Traversal (PTRAV) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Cross-site Scripting (XSS) reflected/stored | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| ПроAPI Тестирование, Attack rechecker, WMX Scanner |
Server-side Request Forgeries (SSRF) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», WMX Scanner |
XML External Entity (XXE) / XML injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Open Redirect | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», WMX Scanner |
Insecure Deserialization | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| WMX Scanner |
PHP Object Injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
HTTP Response Splitting | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование»
|
HTTP Request Splitting | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование»
|
HTTP Request Smuggling | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Parameter pollution | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Forced browsing/ Dirbust / Predictable Resource Location / File Enumeration / Directory Enumeration / Resource Enumeration | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| WMX Scanner |
Bruteforce | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| WMX Scanner |
Scanner | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| WMX Scanner |
Server-Side Includes - (SSI) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», WMX Scanner |
Server-Side Template Injection - (SSTI) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», WMX Scanner |
Mail injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Broken Object Level Authorization / Insecure Direct Object Reference (BOLA / IDOR) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Mass Assignment | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
CRLF injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование», WMX Scanner |
Infoleak | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование»
|
Invalid xml | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Data bomb | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
JSON Web Token (JWT) - мисконфигурации | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Header Injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| WMX Scanner, «ПроAPI Тестирование»
|
2FA/OTP Bypass | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
WebSocket Attacks | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
L7 DDoS | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Credential stuffing | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
HTTP Desync Attack | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Rate Limiting | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Null Byte Injection | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование»
|
HTTP Verb Tampering | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Некорректный метод HTTP | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование» |
Некорректная версия HTTP | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование»
|
Некорректные значения заголовков | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование»
|
Некорректная структура запроса | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| «ПроAPI Тестирование»
|
Clickjacking | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Cross-site Request Forgeries (CSRF) | Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
| WMX Scanner |
Заключение
Защита веб-приложений требует применения различных логик и методов детектирования в зависимости от типа атак. Использование маппинга атак помогает создать эффективные стратегии защиты и улучшить безопасность веб-приложений. Решения от компании Вебмониторэкс предоставляют широкий спектр методов защиты, обеспечивая надёжность и безопасность вашего веб-приложения.
Представленные атаки для нашего WAF охватывают главные угрозы, однако, это может быть не полный список. Поделитесь, какие ещё атаки может детектировать ваш WAF или любой другой, чтобы мы могли дополнить и усовершенствовать наши решения.
Подписывайтесь на наш канал в Telegram. Все об API Security, Web Security. Еще немного про уязвимости и технические изыскания команды Вебмониторэкс. Никакой рекламы. Только полезные материалы.
