Комментарии 6
PTAF конечно крайне дорогой продукт, до 22 за эту сумму можно было купить новенькую ладу весту))) Однако, он стоит своих денег, так как заблокировал все проверенные мной векторы атаки, включая большинство указанных вами. Некоторые не проверял еще, другими нет смысла проверять WAF, например, CSRF. И всё сводится к тому ,что нужно проводить пентест, даже если у вас в штате есть скилловый офицер ИБ с солидным опытом пентеста.
Я понимаю, что эта статья направлена на рекламу своих услуг, это правильно и качество статьи просто супер.
Есть проблема с заказом услуги пентеста, как понять, что определенная контора действительно имеет квалифицированных пентестеров, если учесть, что сейчас себя считает пентестером каждый, кто скачал Kali и запустил metasploit.
Постарался максимально нативно интегрировать упоминание о нашей компании ), чтобы статья все же была насыщенной пользой при выборе СЗИ
По поводу заказа услуги пентеста - есть сертификация - можно понять по наличию сертификатов у специалистов компании, можно по фидбэкам от других заказчиков и т.п.
Конечно на аутсорсе и фрилансе есть риски реализации проекта у низкоквалифицированных специалистов, но так происходит не только в сфере ИБ.
Но это если офицер ИБ в этом понимает. И кстати, множество видов сертификации сейчас на раз помогает пройти Chat GPT, а отзывы тоже не показатель - они не нашли, а их взломали, но в сеть не выложили.
В целом, хотел сказать спасибо за качественное раскрытие возможных векторов атак.
В целом, хотел сказать спасибо за качественное раскрытие возможных векторов атак.
Вы серьезно? В статье же полная ахинея. Нет, даже так - ДИЧАЙШАЯ АХИНЕЯ. Такое ощущение, что это ChatGPT писал статью с его нейронными галлюцинациями. Выглядит правдоподобно - но смысла никакого. Взяли заголовки с этой страницы и написали какую-то отсебятину. Начиная с того что назвали HTTP/2 downgrading атакой, а это не атака, а обычное поведение фронтенд/прокси серверов в данном контексте. Я уже молчу о том что HTTP/2 - вообще бинарный протокол с абсолютно другими псевдо-заголовками и запросы/ответы приведенные в статье видимо из параллельной вселенной, к реальности отношения не имеющие (по секрету скажу, что даже для текстового HTTP/1.1 они не очень валидные). Что вы там авторы курите вообще? Заканчивайте с этим, вы полностью этой статьей дискредитируете себя как ИБ-компанию.
По теме: да, кривой WAF в случае desync атак может сам стать дырой, причем не просто бесполезной фигней - а именно дырой, через которую возможно десинхронизировать запросы и ввести в заблуждение бэкенд. И именно на этом надо было акцентировать внимание, если на то уж пошло, но ведь для этого надо хотя бы элементарно разобраться в вопросе, а не писать эту дичь.
Походу даже на хабре скоро останутся только псевдо-технические статьи на 90% написанные нейронными сетями, это очень тревожные звоночки.
Ложнопозитивный WAF, или Как (не) купить себе кирпич