Lab owasp bwa-WAF

[W0rk3r]

Alguém já fez a integração de um WAF com o mutilidae ou owasp bwa para colocar em prática os estudos sobre mitigação de vulnerabilidades comuns em aplicações web?

[Gregorio Portela]

O hacking feito em ambiente controlado é bacana (fácil), mas quando se volta para a pratica real a coisa muda, e falando a real já montei um ambiente controlado passei pouco tempo, acho que é mais util para quem está tendo o primeiro contato com hacking  ou quer dá aula, é uma boa.

[Eduardo Bittencourt]

Um dos ambientes controlados já pronto e com interface intuitiva é o projeto bwapp, neste projeto você pode testar várias vulnerabilidades web e de servidor

[Nash Leon]

Olá, pessoal!

Há também o DVWA - http://www.dvwa.co.uk/ , que fornece exemplos em PHP com níveis de segurança que vão de Low até Impossible. Você pode ver aonde o código está vulnerável e o conserto do mesmo.

Quanto ao WAF, recomendo setar uma rede virtual com 1 máquina executando a plataforma vulnerável e outra máquina fazendo HTTP Proxy com o WAF embutido. É geralmente assim que vemos nas empresas. Ai você vai manuseando as regras/assinaturas do WAF e tentando gerar os bypass. 

Um exemplo seria ter o mod_security instalado num apache com mod_proxy 'protegendo' o seu servidor vulnerável.

Ferramentas para testar bypass de WAF tem várias, tais como o sqlmap mesmo. Para detectar um WAF há o W00f waf - https://github.com/EnableSecurity/wafw00f

A grande maioria dos WAFs trabalha usando o conceito de assinaturas, até porque os outros modos costumam gerar muito falso positivo e/ou overhead. Então, é possível bypassar por procurar enviar dados que não geram pattern match ou estudar a regex(expressão regular) para ver se ela apresenta algum problema passível de gerar o bypass. Encontramos vários desses bypass no mod_security, abaixo alguns que o dmr encontrou:

https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/116

Abaixo repasso outro exemplo de bypass em um Sophos rodando mod_security:

http://seclists.org/fulldisclosure/2015/May/121

Nesse caso, o Sophos não analisava o payload caso o content-type fosse JSON. Descobrimos isso em um pentest real e depois fizemos uma análise e na época um workaround, pois a Sophos não teve competência pra resolver isso. 

Outros ataques que fizemos(Netscaler, Astaro, etc) foi enviando payloads mais complexos em ataques de SQL Injection. Também há problemas de internacionalização, onde você tem, por exemplo, a aplicação recebendo SELÉCT (com acento),, removendo o acento e enviando para o banco (problemas de normalização). O WAF enxerga "SELÉCT" o banco recebe "SELECT".

Enfim, WAFs bem configurados constituem um desafio, mas hackers determinados tendem a encontrar brechas.

Meus 2 cents.

Um cordial abraço a todos.

NL.

PS: Estou anexando 4 arquivos que demonstram algumas metodologias de exploração de WAF. São antigos, mas os conceitos são os mesmos e funcionais.

 

itts_0110_pt.txt

NL-Netscaler_9.2_Bypass_MS_Sqli_v01.pdf

waf_bypass2.txt

waf_bypass_regex.pdf

[Ygor Da Rocha Parreira]

Oucam esse cara ai (Nash), pois ele sabe do que fala

Abs,

[halencarjunior]

Olá

Deixando alguns links que podem ser úteis:

http://www.gameofhacks.com/

http://google-gruyere.appspot.com/

https://www.hackthis.co.uk/

https://www.hackthissite.org/

https://www.hellboundhackers.org/

http://www.mcafee.com/us/downloads/free-tools/index.aspx

https://sourceforge.net/projects/mutillidae/

http://overthewire.org/wargames/

https://sourceforge.net/projects/peruggia/

https://www.root-me.org/

http://www.try2hack.nl/

http://vicnum.ciphertechs.com/

http://webappsecmovies.sourceforge.net/webgoat/

[]'s a todos!