Web Application Firewall (WAF) — это ключевой компонент системы безопасности веб-приложений, предназначенный для защиты от различных киберугроз, которые могут эксплуатировать уязвимости в коде или архитектуре приложения. Он анализирует запросы, направленные к веб-приложению, и фильтрует подозрительные действия, предотвращая широкий спектр атак.
Разная логика детектирования для различных атак
Как упомянуто в статье "Оса не проскочит: разбираемся в методиках тестирования и сравнения WAF", тестирование и защита от атак требуют различного подхода и логики решений в зависимости от типа угрозы. Атаки можно условно разделить на два блока:
Инъекции и атаки, связанные с модификацией данных в запросе: В этот блок входят SQL-инъекции (SQLi), NoSQL-инъекции (NoSQLi), атаки с использованием XML External Entities (XXE), Server-Side Request Forgery (SSRF), и другие подобные атаки. Для этих атак можно использовать сигнатуры и паттерны, что позволяет их детектировать на основе анализа одного запроса.
Поведенческие и логические атаки: Включают ошибки криптографии, уязвимости в дизайне, проблемы с аутентификацией, использование устаревших компонентов и проблемы с логированием. Эти атаки связаны с более сложной логикой работы приложений и могут потребовать создания специальных тестовых сценариев, настройки демо-стендов и комплексного тестирования для выявления уязвимостей.
Маппинг атак
Маппинг атак — это процесс сопоставления конкретных типов атак с методами защиты, применяемыми WAF. Это помогает в точном определении стратегии защиты и улучшении безопасности веб-приложений. Ниже приведена таблица, которая демонстрирует, как «ПроWAF», «ПроAPI Структура» и другие продукты компании Вебмониторэкс защищают от различных типов атак.
Таблица 1 – Маппинг атак по продуктам компании Вебмониторэкс
Тип атаки / условное обозначение |
Детектируемость в «ПроWAF» и «ПроAPI Структура» |
Наличие в иных продуктах компании Вебмониторэкс |
SQL injection (SQLi) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», Attack rechecker, WMX Scanner |
NoSQL injection (NoSQLi) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура». |
«ПроAPI Тестирование» |
LDAP injection (LDAPi) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
XPath injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование» |
Command injection (RCE) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», Attack rechecker, WMX Scanner |
ORM injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Remote file inclusion (RFI) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», WMX Scanner |
Local file inclusion (LFI) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Directory Traversal (PTRAV) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Cross-site Scripting (XSS) reflected/stored |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
ПроAPI Тестирование, Attack rechecker, WMX Scanner |
Server-side Request Forgeries (SSRF) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», WMX Scanner |
XML External Entity (XXE) / XML injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», Attack rechecker, WMX Scanner |
Open Redirect |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», WMX Scanner |
Insecure Deserialization |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
WMX Scanner |
PHP Object Injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
HTTP Response Splitting |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование»
|
HTTP Request Splitting |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование»
|
HTTP Request Smuggling |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Parameter pollution |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Forced browsing/ Dirbust / Predictable Resource Location / File Enumeration / Directory Enumeration / Resource Enumeration |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
WMX Scanner |
Bruteforce |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
WMX Scanner |
Scanner |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
WMX Scanner |
Server-Side Includes - (SSI) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», WMX Scanner |
Server-Side Template Injection - (SSTI) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», WMX Scanner |
Mail injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Broken Object Level Authorization / Insecure Direct Object Reference (BOLA / IDOR) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Mass Assignment |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
CRLF injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование», WMX Scanner |
Infoleak |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование»
|
Invalid xml |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Data bomb |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
JSON Web Token (JWT) - мисконфигурации |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Header Injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
WMX Scanner, «ПроAPI Тестирование»
|
2FA/OTP Bypass |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
WebSocket Attacks |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
L7 DDoS |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Credential stuffing |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
HTTP Desync Attack |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Rate Limiting |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Null Byte Injection |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование»
|
HTTP Verb Tampering |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Некорректный метод HTTP |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование» |
Некорректная версия HTTP |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование»
|
Некорректные значения заголовков |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование»
|
Некорректная структура запроса |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
«ПроAPI Тестирование»
|
Clickjacking |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
|
Cross-site Request Forgeries (CSRF) |
Обнаруживаем атаку в «ПроWAF» и «ПроAPI Структура».
|
WMX Scanner |
Заключение
Защита веб-приложений требует применения различных логик и методов детектирования в зависимости от типа атак. Использование маппинга атак помогает создать эффективные стратегии защиты и улучшить безопасность веб-приложений. Решения от компании Вебмониторэкс предоставляют широкий спектр методов защиты, обеспечивая надёжность и безопасность вашего веб-приложения.
Представленные атаки для нашего WAF охватывают главные угрозы, однако, это может быть не полный список. Поделитесь, какие ещё атаки может детектировать ваш WAF или любой другой, чтобы мы могли дополнить и усовершенствовать наши решения.
Подписывайтесь на наш канал в Telegram. Все об API Security, Web Security. Еще немного про уязвимости и технические изыскания команды Вебмониторэкс. Никакой рекламы. Только полезные материалы.