🔥 Техники обхода WAF: что делают пентестеры? 🕵️‍♂️💻
WAF (Web Application Firewall) — это щит для защиты веб-приложений от атак. Но даже самая крутая защита не всегда идеальна, и пентестеры это знают. Давайте разберём, как работают WAF и какие техники позволяют их обойти.

🔍 Что делает WAF?
WAF анализирует входящий и исходящий трафик и блокирует подозрительные запросы. Например:
Останавливает SQL-инъекции.
Защищает от XSS-атак.
Блокирует DDoS.
Но… если запрос выглядит "безобидно" или замаскирован, WAF может пропустить атаку.

🎯 Как пентестеры обходят WAF?
Модификация запросов 🛠️
Пентестеры изменяют формат запроса, чтобы WAF не узнал его как угрозу.
💡 Пример:
Вместо стандартного:

SELECT * FROM users WHERE id = 1
Пишут:

SELECT/**//*FROM/**/users/**/WHERE/**/id=1
Многие WAF не распознают такую "разбитую" команду.

Кодирование данных 🧩
Используют разные кодировки (URL-энкодинг, Base64), чтобы замаскировать запрос.
💡 Пример:
Вместо admin' OR '1'='1 отправляют:

admin%27%20OR%20%271%27%3D%271



Медленные атаки 🐌
Отправляют запросы с паузами, чтобы не активировать защиту от DDoS.
💡 Пример:
Вместо десятков запросов за секунду отправляют один каждые 5-10 секунд.

Обход через незапрещённые порты 🚪
Если WAF защищает только стандартные порты (например, 80 и 443), пентестеры ищут открытые нестандартные порты, где WAF может отсутствовать.

Замена методов HTTP 🔀
Некоторые WAF плохо обрабатывают редкие HTTP-методы (PUT, TRACE).
💡 Пример:
Вместо привычного POST используют TRACE, чтобы передать вредоносный запрос.

Атака на слабую конфигурацию ⚙️
Пентестеры ищут правила, которые администраторы настроили неправильно. Например, если WAF настроен на фильтрацию по конкретным ключевым словам, можно использовать синонимы.

Использование уязвимостей в самом WAF 💥
Парадокс, но и сам WAF может быть уязвимым. Злоумышленники атакуют его, чтобы отключить или перенастроить.

🔐 Как защититься от таких техник?
Используйте многослойную защиту.

WAF — это только часть системы безопасности. Добавьте IDS/IPS, фильтры и регулярные проверки.
Обновляйте WAF.
Устаревшие версии могут быть легко обойдены.

Тестируйте свои правила.
Наймите пентестеров, чтобы они проверили вашу конфигурацию.

Мониторьте логи.
Подозрительные запросы и странный трафик — это всегда сигнал к проверке.

Сложные правила фильтрации.
Настройте фильтры на уровне контекста, чтобы WAF понимал не только текст, но и логику запросов.

👨‍💻 Вывод:
WAF - это отличная защита, но она не всемогуща. Пентестеры знают, как обойти её слабые места, и задача владельцев приложений — быть на шаг впереди. Регулярный аудит и грамотная настройка — ключ к надёжной защите.

📲 Подписывайтесь, чтобы узнать больше о пентесте и защите своих приложений!
#WAF #КиберБезопасность #Пентест #TechTips #ITSecurity

Пентестинг. Этичный хакинг.

🔥 Техники обхода WAF: что делают пентестеры? 🕵️‍♂️💻
WAF (Web Application Firewall) — это щит для защиты веб-приложений от атак. Но даже самая крутая защита не всегда идеальна, и пентестеры это знают. Давайте разберём, как работают WAF и какие техники позволяют их обойти.

🔍 Что делает WAF?
WAF анализирует входящий и исходящий трафик и блокирует подозрительные запросы. Например:
Останавливает SQL-инъекции.
Защищает от XSS-атак.
Блокирует DDoS.
Но… если запрос выглядит "безобидно" или замаскирован, WAF может пропустить атаку.

🎯 Как пентестеры обходят WAF?
Модификация запросов 🛠️
Пентестеры изменяют формат запроса, чтобы WAF не узнал его как угрозу.
💡 Пример:
Вместо стандартного:

SELECT * FROM users WHERE id = 1
Пишут:

SELECT/**//*FROM/**/users/**/WHERE/**/id=1
Многие WAF не распознают такую "разбитую" команду.

Кодирование данных 🧩
Используют разные кодировки (URL-энкодинг, Base64), чтобы замаскировать запрос.
💡 Пример:
Вместо admin' OR '1'='1 отправляют:

admin%27%20OR%20%271%27%3D%271



Медленные атаки 🐌
Отправляют запросы с паузами, чтобы не активировать защиту от DDoS.
💡 Пример:
Вместо десятков запросов за секунду отправляют один каждые 5-10 секунд.

Обход через незапрещённые порты 🚪
Если WAF защищает только стандартные порты (например, 80 и 443), пентестеры ищут открытые нестандартные порты, где WAF может отсутствовать.

Замена методов HTTP 🔀
Некоторые WAF плохо обрабатывают редкие HTTP-методы (PUT, TRACE).
💡 Пример:
Вместо привычного POST используют TRACE, чтобы передать вредоносный запрос.

Атака на слабую конфигурацию ⚙️
Пентестеры ищут правила, которые администраторы настроили неправильно. Например, если WAF настроен на фильтрацию по конкретным ключевым словам, можно использовать синонимы.

Использование уязвимостей в самом WAF 💥
Парадокс, но и сам WAF может быть уязвимым. Злоумышленники атакуют его, чтобы отключить или перенастроить.

🔐 Как защититься от таких техник?
Используйте многослойную защиту.

WAF — это только часть системы безопасности. Добавьте IDS/IPS, фильтры и регулярные проверки.
Обновляйте WAF.
Устаревшие версии могут быть легко обойдены.

Тестируйте свои правила.
Наймите пентестеров, чтобы они проверили вашу конфигурацию.

Мониторьте логи.
Подозрительные запросы и странный трафик — это всегда сигнал к проверке.

Сложные правила фильтрации.
Настройте фильтры на уровне контекста, чтобы WAF понимал не только текст, но и логику запросов.

👨‍💻 Вывод:
WAF - это отличная защита, но она не всемогуща. Пентестеры знают, как обойти её слабые места, и задача владельцев приложений — быть на шаг впереди. Регулярный аудит и грамотная настройка — ключ к надёжной защите.

📲 Подписывайтесь, чтобы узнать больше о пентесте и защите своих приложений!
#WAF #КиберБезопасность #Пентест #TechTips #ITSecurity

❤10

hottg.com/pentesting_channel/364

1.78K viewsApr 21 at 14:39