Wykrywanie / obchodzenie Web Application Firewalli (WAF-ów) – zbiór metod, prezentacji i innych ciekawostek

Czasem pojawia się pytanie – nie będę zabezpieczał swojej aplikacji, ale skonfiguruję WAF-a. Czy mój system jest bezpieczny?

To zależy – czasem bezpieczeństwo wzrasta, a czasem drastycznie spada. Ktoś znajdzie jedno ciekawe obejście i bum, słowa pana sprzedawcy-marketingowca są nic nie warte. WAF dał nam mylne poczucie bezpieczeństwa – z samą aplikacją nic nie zrobiłem (bo jest WAF), a możną ją atakować na prawo i lewo.

Chcącym bardziej rozpoznać temat polecam zestawienie: Awesome-WAF. Mamy tu różne sposoby wykrycia WAF-ów, ogólne sposoby na obchodzenie tego typu mechanizmów, aż w końcu konkretne znalezione obejścia dla różnych producentów.

Na koniec mamy również trochę linków do inspirujących prezentacji w temacie.

–ms