Каковы оптимальные методы работы с брандмауэром веб-приложений во время тестирования пера веб-приложений?
Меня просят провести тест на проникновение для веб-приложения, защищенного imunify360 WAF. После того, как я попал в черный список пару раз из-за начального сканирования / паутинки веб-сайта, возник вопрос, как вы справляетесь с WAF во время пентестов?
С моей точки зрения, WAF должен быть отключен, чтобы получить лучшую поверхность атаки и, следовательно, хорошую базовую линию для результатов пентеста как таковых.
Однако, если WAF не может быть отключен (так как клиент не может этого сделать или не желает), мои мысли будут двойственными:
После идентификации WAF с помощью инструментов wafw00f, whatwaf или lightbulb можно было либо 1.) попытаться определить необходимую задержку, чтобы автоматические запросы не попали в черный список, либо 2.) во время фактической фазы эксплуатации, попробовать разные кодировки, которые не запускаются набор правил WAF.
Не могли бы вы прокомментировать эти мысли и, если они имеют смысл, как бы вы поняли пункт 1 и 2?
1 ответ
Вообще, я бы порекомендовал обойти WAF для целей пентеста. Хотя просить отключить его не очень хорошая идея, из-за ущерба, который он нанесет их состоянию безопасности в промежуточный период, большинство решений WAF позволяют им вносить в белый список IP-адрес, который вы используете для тестирования, imunify360 определенно обладает эта функциональность.
Если WAF оставлен включенным, клиент фактически платит вам в основном за проверку средств защиты WAF, а не за их реальное веб-приложение.
В случае, если вам нужно работать через WAF, я бы выделил ручное тестирование, избегая использования автоматических сканеров, которые без необходимости запускали бы WAF. Кроме того, я бы уделил приоритетное внимание выявлению уязвимостей, не связанных с инъекцией, в которые WAF не вступил бы, а также проблем бизнес-логики.