[*]
[*]Увек је добра идеја да нападач зна где се ВАФ обично користи на мрежи пре него што почне да узима отиске прстију.
[*]Испитивачи пенетрације морају бити свесни ВАФ-а пре него што започну ангажовање на веб апликацији јер то може утицати на исход њихових напада.
[*]Али пре тога…
Преглед садржаја
Шта је ВАФ?
[*]ВАФ (Заштитни зид веб апликација ) игра значајну улогу у безбедности веб странице. Они филтрирају и прате саобраћај. Заштитни зидови веб апликација пружају заштиту од великих недостатака. Многе организације модернизују своју инфраструктуру како би укључиле заштитне зидове за веб апликације. Према експертима за етичко хаковање, заштитни зидови веб апликација не могу сами да реше безбедносне проблеме; потребна је адекватна конфигурација за препознавање и блокирање спољних претњи.
[*]ВАФ се разликује од традиционалног заштитног зида по томе што може да филтрира садржај одређених онлајн апликација, док традиционални заштитни зидови делују као безбедносна баријера између сервера.
[*]
[*]ХТТП интеракција је подвргнута скупу правила. Ова правила се баве типичним рањивостима као што су скриптовање на више локација и СКЛ ињекција уопште.
[*]На интернету постоји много бесплатних алата отвореног кода који могу открити заштитне зидове иза веб апликација.
[*]У овом чланку ћемо погледати приступе и алате који се могу користити за откривање ВАФ-а.
[*]Имајте на уму: У овом водичу користио сам своју веб локацију за набрајање детаља. Не вршите скенирање или друге хакерске активности на било којој веб локацији без претходне дозволе власника.
Мануал Дисцовери
Детекција помоћу ТЕЛНЕТ-а
[*]Телнет углавном га користе мрежни администратори и тестери пенетрације. Телнет вам омогућава да се повежете на удаљене хостове преко било ког порта, као што је претходно наведено.
- ХТТП параметре често остављају (или убацују) у заглавља одговора заштитни зидови веб апликација.
- Телнет се може користити за добијање основних информација за прикупљање као што су сервер и колачићи који се користе за отиске прстију.
- Унесите Телнет Таргетвебсите.цом 80
[email protected]: # telnet Targetwebsite.com 80 Trying 18.166.248.208... Connected to Targetwebsite.com. Escape character is '^]'.
[*]Након што покренете горњу команду, напишите ХЕАД / ХТТП / 1.1 и притисните тастер ентер.
[email protected]: # telnet 18.166.248.208 80 Trying 18.166.248.208... Connected to 18.166.248.208. Escape character is '^]'. HEAD / HTTP/1.1 Host: 18.166.248.208 HTTP/1.1 200 OK Date: SUN, 10 Oct 2021 05:08:03 IST Server: Apache X-Powered-By: PHP/5.3.5 ZendServer/5.0 Set-Cookie: SESSIONID VULN SITE=t25put8gliicvqf62u3ctgjm21; path=/ Expires: Thu, 19 Nov 1981 08:52:00 IST Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache X-Varnish: 4723782781 Age: 0 Via: 1.1 varnish Connection: close Content-Type: text/html Connection closed by foreign host.
[*]Означава сервер на коме је веб локација хостована и позадински језик на коме је креирана након коришћења телнета на циљном порту 80.
[*]Неки ВАФ системи дозвољавају измену заглавља, а такође могу проузроковати да веб сервер шаље ХТТП одговоре који се разликују од стандардних.
[*]Као што је приказано у резултату изнад, веб сервер је одговорио на наш захтев и открио да је заштитни зид/ивица капија Варнисх.
Аутоматед Дисцовери
#1. Откривање помоћу НМАП-а
[*]Нмап, који има скрипту која може да идентификује заштитни зид веб апликације, такође се може користити за ову сврху.
- Нмап је алат за процену безбедности који многи тестери оловке и мрежни администратори обично користе.
- Нмап се користи за добијање информација о мети.
- Скрипта је покренута на истој веб страници као и раније
- Унесите команду нмап –сцрипт=хттп-ваф-фингерпринт таргетвеб.цом
[email protected]:# nmap --script=http-waf-fingerprint targetwebsite.com Starting Nmap 7.90 ( https://nmap.org ) at 2021-10-10 07:58 IST Nmap scan report for targetsite.com (18.166.248.208) Host is up (0.24s latency). Not shown: 982filtered ports PORT STATE SERVICE 53/tcp open domain 80/tcp open http | http-waf-fingerprint: | Detected WAF | Citrix Netscaler 443/tcp open https 5432/tcp closed postgresql 8080/tcp closed http-proxy Nmap done: 1 IP address (1 host up) scanned in 25.46 seconds
[*]Након коришћења горње Нмап команде, откривен је заштитни зид Цитрик Нетсцалер.
#2. Откривање помоћу Вхатваф-а
[*]Вхатваф је безбедносни алат за узимање отисака прстију веб апликација и откривање присуства било којег ВАФ-а. Овај алат је користан за одређивање да ли је веб апликација заштићена ВАФ-ом током безбедносних процена.
[*]Ако је то случај, стратегије заобилажења и избегавања могу бити од помоћи у даљем тестирању или искоришћавању онлајн апликације.
[*]Заобилажење заштитног зида, откривање апликација, отисак прста апликација и идентификација софтвера су све честе употребе за ВхатВаф. Мрежа
Предвиђени корисници овог програма су тестери за оловке и професионалци за безбедност.
Како инсталирати ВхатВаф?
[*]Инсталација на Кали-Линук
sudo apt install python3-pip git clone https://github.com/ekultek/whatwaf cd whatwaf sudo pip3 install -r requirements.txt
[*]Приликом покретања, без верзије Питхон-а, лако можемо навести извршну датотеку:
./whatwaf --help
[*]Међутим, пошто нисмо инсталирали Питхон 2 зависности, саветујемо вам да посебно наведете верзију Питхон-а.
python3 ./whatwaf --help
Употреба алата
[*]Вхатваф алатка за откривање заштитног зида је једноставна за употребу! Само треба да извршимо следећу команду:
./whatwaf -u https://www.targetsite.com
[*]Као што можете видети у наставку, овај алат је открио заштитни зид за дату УРЛ адресу веб локације.
[*]Подсетник! – Користио сам свој сајт за скенирање
┌──(root💀kali)-[/home/writer/WhatWaf]
└─# ./whatwaf -u https://www.renjith.org
,------.
' .--. '
,--. .--. ,--. .--.| | | |
| | | | | | | |'--' | |
| | | | | | | | __. |
| |.'.| | | |.'.| | | .'
| | | | |___|
| ,'. |hat| ,'. |af .---.
'--' '--' '--' '--' '---'
/><script>alert("WhatWaf?<|>v2.0.3($dev)");</script>%00
[11:12:34][ERROR] you must install psutil first `pip install psutil` to start mining XMR
[11:12:34][INFO] checking for updates
[11:12:34][WARN] it is highly advised to use a proxy when using WhatWaf. do so by passing the proxy flag (IE `--proxy http://127.0.0.1:9050`) or by passing the Tor flag (IE `--tor`)
[11:12:34][INFO] using User-Agent 'whatwaf/2.0.3 (Language=2.7.18; Platform=Linux)'
[11:12:34][INFO] using default payloads
[11:12:34][INFO] testing connection to target URL before starting attack
[11:12:35][SUCCESS] connection succeeded, continuing
[11:12:35][INFO] running single web application 'https://www.renjith.org'
[11:12:35][WARN] URL does not appear to have a query (parameter), this may interfere with the detection results
[11:12:35][INFO] request type: GET
[11:12:35][INFO] gathering HTTP responses
[11:12:42][INFO] gathering normal response to compare against
[11:12:42][INFO] loading firewall detection scripts
[11:12:42][INFO] running firewall detection checks
[11:12:44][FIREWALL] detected website protection identified as 'Apache Generic'
[11:12:44][INFO] starting bypass analysis
[11:12:44][INFO] loading payload tampering scripts
[11:12:45][INFO] running tampering bypass checks
[11:19:09][SUCCESS] apparent working tampers for target:
------------------------------
(#1) description: tamper payload by changing characters into a wildcard
example: '/bin/cat /et?/?asswd'
load path: content.tampers.randomwildcard
------------------------------
[*]Као што је приказано у резултату изнад, веб сервер је одговорио на наш захтев и открио да је заштитни зид Апацхе. Такође можемо користити услугу тор за скенирање ВАФ-а, али то може повећати кашњење.
./whatwaf -u https://www.targetsite.com --tor
[*]Главна предност Вхатваф алата је у томе што аутоматски покушава да да терет да заобиђе откривени заштитни зид.
#3. Откривање помоћу Вафв00ф
[*]Најпознатији алат за откривање заштитног зида веб апликације је Вафв00ф. Вафв00ф шаље ХТТП захтев заштитном зиду веб апликације да би га идентификовао. Када слање ХТТП захтева не успе, вафв00ф прави злонамерни ХТТП захтев. Ако слање злонамерног ХТТП захтева не успе, вафв00ф испитује претходне ХТТП захтеве и користи једноставан алгоритам да утврди да ли заштитни зид веб апликације реагује на наше нападе.
[*]Вафв00ф није унапред инсталиран у Кали Линук дистрибуцијама.
Како инсталирати Вафв00ф?
[*]Зип пакет је доступан за преузимање са званичног ГитХуб извора.
[*]Преузмите алатку Вафвооф. Такође можете користити гит клијент за клонирање спремишта. Да бисте добили пакет, покрените команде:
$ git clone https://github.com/EnableSecurity/wafw00f.git
[*]Да бисте преузели алатку вафв00ф у систем, идите до фасцикле или директоријума вафв00ф и извршите следећу команду.
$ python setup.py install
[*]Инсталациони фајл ће бити обрађен и вафв00ф ће бити инсталиран у систем.
Употреба алата
[*]Да бисте користили овај алат, покрените ову команду.
$ wafw00f <url>
[*]ПОДСЕТНИК – Скенирајте само веб локације које вам је дозвољено да тестирате
┌──(root💀kali)-[/home/writer/wafw00f]
└─# wafw00f https://webhashes.com
______
/
( Woof! )
____/ )
,, ) (_
.-. - _______ ( |__|
()``; |==|_______) .)|__|
/ (' /| ( |__|
( / ) / | . |__|
(_)_)) / | |__|
~ WAFW00F : v2.1.0 ~
The Web Application Firewall Fingerprinting Toolkit
[*] Checking https://whatismyip.com
[+] The site https://whatismyip.com is behind Cloudflare (Cloudflare Inc.) WAF.
[~] Number of requests : 2
[*]Штета, откривен је заштитни зид!
[*]Покушаћемо другу циљну веб локацију у сврху дискусије.
┌──(root💀kali)-[/home/writer/wafw00f]
└─# wafw00f https://renjith.org
______
/
( Woof! )
____/ )
,, ) (_
.-. - _______ ( |__|
()``; |==|_______) .)|__|
/ (' /| ( |__|
( / ) / | . |__|
(_)_)) / | |__|
~ WAFW00F : v2.1.0 ~
The Web Application Firewall Fingerprinting Toolkit
[*] Checking https://renjith.org
[+] Generic Detection results:
[-] No WAF detected by the generic detection
[~] Number of requests: 7
[*]Овај пут није откривен заштитни зид.
[*]А да бисте га користили у опширном режиму, покрените следећу команду.
wafw00f <url> -v
[*]Можете видети неколико додатних могућности овог услужног програма извршавањем ове команде.
wafw00f <url> --help
Завршавање 👨💻
[*]У овом чланку смо погледали различите стратегије и алате за откривање заштитних зидова веб апликација. Ово је важна активност која се мора обавити током фазе прикупљања информација сваког теста пенетрације веб апликације.
[*]Штавише, сазнање да је ВАФ успостављен омогућава тестеру пенетрације да испроба различите приступе да заобиђе одбрану и искористи све рупе у онлајн апликацији.
[*]Према истраживачу етичког хаковања, поседовање заштитног зида за веб апликације (ВАФ) је све потребније. Увек је важно анализирати евиденцију ваших веб апликација да бисте открили нове нападе који се дешавају на позадинском серверу веб апликација. Ово вам омогућава да прилагодите правила у заштитном зиду ваше веб апликације како бисте обезбедили највиши ниво заштите.
[*]Можда ће вас занимати и читање: Рањивости помоћу Никто скенера.