Güvenlik uzmanları, Web Uygulaması Güvenlik Duvarlarını (WAF’ler) büyük ölçüde atlamak için gelişmiş yöntemleri açıkladılar ve ayrıca bu süreci kolaylaştırmak için yeni bir Burp Suite eklentisini de tanıttılar.
Assetnote’un kurucu ortağı ve deneyimli bir hata ödülü avcısı olan Shubham Shah, WAF dağıtımlarının şu anda nasıl olduğuna ve bunların korumalarının etkili bir şekilde nasıl atlatılabileceğine ışık tutan sonuçları paylaştı.
Shah, son beş yılda WAF konuşlandırılmasında yaşanan önemli değişimin altını çizdi. Maliyet ve kullanılabilirlik endişeleri nedeniyle WAF’ler başlangıçta kritik varlıklar için ayrılmıştı.
Ancak olgun şirketlerin tüm saldırı yüzeylerinde WAF’ları konuşlandırmasıyla ve bazen Akamai gibi çözümlerle 20.000’den fazla varlığı kapsamasıyla manzara değişti.
Bu yaygın benimseme, hata ödül avcıları ve güvenlik araştırmacılarının uyum sağlaması ve güvenlik açıklarını belirlemeye devam etmesi için yeni stratejiler gerektiriyor.
Shah, WAF’ları atlayacak karmaşık veriler oluşturmak yerine bunu basit tutmanın daha iyi olduğunu öne sürüyor. Birçok modern WAF’ın karmaşık tekniklere gerek kalmadan atlanabileceğini vurguladı.
Bunun yerine, yükleri değiştirmek yerine zihniyete ve metodolojiye odaklanan basit yöntemler önerdi. Bu yaklaşım, WAF bypass tekniklerinin gizemini ortadan kaldırmayı ve bunları güvenlik topluluğu için daha erişilebilir hale getirmeyi amaçlamaktadır.
Ortak Kusur: İstek Boyutu Sınırları
Shah’ın tartıştığı temel güvenlik açıklarından biri, birçok WAF’ta bulunan istek boyutu sınırıdır. Performans kısıtlamaları nedeniyle WAF’ler genellikle istek gövdesinin yalnızca bir bölümünü denetler.
Örneğin, AWS WAF’ler, Application Load Balancer ve AWS AppSync korumaları için 8 KB’a kadar, CloudFront ve API Gateway korumaları için ise 64 KB’a kadar denetler.
Benzer şekilde, Azure ve Akamai WAF’ların da boyut sınırları vardır ve bu genellikle büyük isteklerin denetlenmeyen bölümlerine yol açar. Bu kusur, kötü amaçlı yüklerin WAF’ı atlayarak inceleme sınırının ötesine yerleştirilmesiyle kullanılabilir.
Şah tanıttı şimdi lütfen Bu istek boyutu sınırlarının kullanılmasını kolaylaştırmak için Burp Eklentisi. Bu araç, WAF inceleme sınırlarını aşma isteklerini otomatik olarak doldurarak süreci basitleştirir.
İçerik türüne bağlı olarak eklenti, imlecin konumuna gereksiz veriler ekleyerek WAF’ların manuel müdahale olmadan atlanmasını kolaylaştırır. Örneğin, XML’e yorumlar, JSON’a önemsiz anahtarlar ve değerler, URL kodlu verilere ise önemsiz parametreler ekler.
Shah ayrıca WAF’ları atlamak için çeşitli gelişmiş araç ve teknikleri de tartıştı:
- IP Döndürme: Trafiği farklı bölgelerdeki birden fazla API ağ geçidi üzerinden yönlendirerek hız sınırlamasının önlenmesine yardımcı olan bir Burp Suite uzantısı.
- Fireprox: Fffuf gibi araçlarla kullanılmak üzere bir API ağ geçidi URL’si oluşturarak her isteğin yeni bir IP’den gelmesini sağlar.
- Gölge Klonu: Görevleri AWS, GCP ve Azure gibi sunucusuz bilgi işlem platformları arasında dağıtarak WAF’leri atlamak için yüksek IP değişkenliği sağlar. Bu araç özellikle büyük ölçekli güvenlik açığı taraması ve testi için etkilidir.
Shah, istek boyutu sınırlarını kullanmanın yanı sıra diğer yenilikçi bypass tekniklerini de vurguladı:
- WAF aracılığıyla atlama: Kaynak IP’ye proxy bağlantılar kurmak için Cloudflare gibi WAF sağlayıcıları tarafından sağlanan paylaşılan sertifikaları kullanma, WAF ayarlarını etkili bir şekilde en düşük seviyeye düşürme.
- H2C Kaçakçılığı: Özellikle şirket içi veya ters proxy tabanlı WAF’lerde hız sınırlamasını ve WAF kontrollerini atlamak için HTTP/2 Şeffaf Metin (H2C) kaçakçılığından yararlanma.
Shah’ın sunumu WAF baypas tekniklerinin gelişen doğasının ve siber güvenlik silahlanma yarışında önde kalmanın öneminin altını çiziyor.
Yaklaşımı basitleştirerek ve mevcut Burp Eklentisi gibi araçlardan yararlanarak, güvenlik araştırmacıları güvenlik açıklarını daha etkili bir şekilde tanımlayabilir ve kullanabilir, giderek daha karmaşık hale gelen tehditlere karşı güçlü koruma sağlayabilir.