Jump to content

Lab owasp bwa-WAF


W0rk3r

Recommended Posts

Olá, pessoal!

Há também o DVWA - http://www.dvwa.co.uk/ , que fornece exemplos em PHP com níveis de segurança que vão de Low até Impossible. Você pode ver aonde o código está vulnerável e o conserto do mesmo.

Quanto ao WAF, recomendo setar uma rede virtual com 1 máquina executando a plataforma vulnerável e outra máquina fazendo HTTP Proxy com o WAF embutido. É geralmente assim que vemos nas empresas. Ai você vai manuseando as regras/assinaturas do WAF e tentando gerar os bypass. 

Um exemplo seria ter o mod_security instalado num apache com mod_proxy 'protegendo' o seu servidor vulnerável.

Ferramentas para testar bypass de WAF tem várias, tais como o sqlmap mesmo. Para detectar um WAF há o W00f waf - https://github.com/EnableSecurity/wafw00f

A grande maioria dos WAFs trabalha usando o conceito de assinaturas, até porque os outros modos costumam gerar muito falso positivo e/ou overhead. Então, é possível bypassar por procurar enviar dados que não geram pattern match ou estudar a regex(expressão regular) para ver se ela apresenta algum problema passível de gerar o bypass. Encontramos vários desses bypass no mod_security, abaixo alguns que o dmr encontrou:

https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/116

Abaixo repasso outro exemplo de bypass em um Sophos rodando mod_security:

http://seclists.org/fulldisclosure/2015/May/121

Nesse caso, o Sophos não analisava o payload caso o content-type fosse JSON. Descobrimos isso em um pentest real e depois fizemos uma análise e na época um workaround, pois a Sophos não teve competência pra resolver isso. 

Outros ataques que fizemos(Netscaler, Astaro, etc) foi enviando payloads mais complexos em ataques de SQL Injection. Também há problemas de internacionalização, onde você tem, por exemplo, a aplicação recebendo SELÉCT (com acento),, removendo o acento e enviando para o banco (problemas de normalização). O WAF enxerga "SELÉCT" o banco recebe "SELECT".

Enfim, WAFs bem configurados constituem um desafio, mas hackers determinados tendem a encontrar brechas.

Meus 2 cents.

Um cordial abraço a todos.

NL.

PS: Estou anexando 4 arquivos que demonstram algumas metodologias de exploração de WAF. São antigos, mas os conceitos são os mesmos e funcionais.

 

itts_0110_pt.txt

NL-Netscaler_9.2_Bypass_MS_Sqli_v01.pdf

waf_bypass2.txt

waf_bypass_regex.pdf

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...