Jump to content
W0rk3r

Lab owasp bwa-WAF

 Read less than a minute

Recommended Posts

 Read less than a minute

Alguém já fez a integração de um WAF com o mutilidae ou owasp bwa para colocar em prática os estudos sobre mitigação de vulnerabilidades comuns em aplicações web?

Edited by W0rk3r

Share this post


Link to post
Share on other sites
 Read less than a minute

O hacking feito em ambiente controlado é bacana (fácil), mas quando se volta para a pratica real a coisa muda, e falando a real já montei um ambiente controlado passei pouco tempo, acho que é mais util para quem está tendo o primeiro contato com hacking  ou quer dá aula, é uma boa.

Share this post


Link to post
Share on other sites
 Read 1 minute

Olá, pessoal!

Há também o DVWA - http://www.dvwa.co.uk/ , que fornece exemplos em PHP com níveis de segurança que vão de Low até Impossible. Você pode ver aonde o código está vulnerável e o conserto do mesmo.

Quanto ao WAF, recomendo setar uma rede virtual com 1 máquina executando a plataforma vulnerável e outra máquina fazendo HTTP Proxy com o WAF embutido. É geralmente assim que vemos nas empresas. Ai você vai manuseando as regras/assinaturas do WAF e tentando gerar os bypass. 

Um exemplo seria ter o mod_security instalado num apache com mod_proxy 'protegendo' o seu servidor vulnerável.

Ferramentas para testar bypass de WAF tem várias, tais como o sqlmap mesmo. Para detectar um WAF há o W00f waf - https://github.com/EnableSecurity/wafw00f

A grande maioria dos WAFs trabalha usando o conceito de assinaturas, até porque os outros modos costumam gerar muito falso positivo e/ou overhead. Então, é possível bypassar por procurar enviar dados que não geram pattern match ou estudar a regex(expressão regular) para ver se ela apresenta algum problema passível de gerar o bypass. Encontramos vários desses bypass no mod_security, abaixo alguns que o dmr encontrou:

https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/116

Abaixo repasso outro exemplo de bypass em um Sophos rodando mod_security:

http://seclists.org/fulldisclosure/2015/May/121

Nesse caso, o Sophos não analisava o payload caso o content-type fosse JSON. Descobrimos isso em um pentest real e depois fizemos uma análise e na época um workaround, pois a Sophos não teve competência pra resolver isso. 

Outros ataques que fizemos(Netscaler, Astaro, etc) foi enviando payloads mais complexos em ataques de SQL Injection. Também há problemas de internacionalização, onde você tem, por exemplo, a aplicação recebendo SELÉCT (com acento),, removendo o acento e enviando para o banco (problemas de normalização). O WAF enxerga "SELÉCT" o banco recebe "SELECT".

Enfim, WAFs bem configurados constituem um desafio, mas hackers determinados tendem a encontrar brechas.

Meus 2 cents.

Um cordial abraço a todos.

NL.

PS: Estou anexando 4 arquivos que demonstram algumas metodologias de exploração de WAF. São antigos, mas os conceitos são os mesmos e funcionais.

 

itts_0110_pt.txt

NL-Netscaler_9.2_Bypass_MS_Sqli_v01.pdf

waf_bypass2.txt

waf_bypass_regex.pdf

  • Curtir 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...