Los cortafuegos de aplicación Web instalados normalmente en los servidores de seguridad están trabajando en la capa de aplicación que supervisa y modifica las peticiones HTTP. La diferencia clave es que WAF (cortafuegos de aplicaciones Web) funciona en la Capa 7 (Capa de aplicación del modelo OSI), básicamente para proteger contra diferentes ataques HTTP y consultas como SQL y XSS. Desde el servidor de seguridad es capaz de detectar los métodos HTTP, consultas SQL y otras secuencias de comandos que se pueden usar como entrada de diferentes formas en un sitio web. El WAF puede filtrar las peticiones aplicando una política que define lo que esta permitido y lo que no, como entrada a través de una página web.
Normalmente, un WAF estará presente en una aplicación web en la que hay estrictas medidas de seguridad, como un sitio web de banca o un sitio de comercio electrónico. Cuando se realiza un test de penetración, la detección del WAF es crucial el la fase de reconocimiento (el test de penetración tiene tres fases: reconocimiento, descubrimiento, explotación y presentación de informes) y mapeo de la arquitectura de la aplicación Web. Uno debe detectar la presencia de un WAF y evaluarlo en caso de pruebas de auditoria caja negra (realizada desde fuera y ofrece la visión de un atacante, esta auditoria puede dar falsos positivos). Esto juega un papel crucial en la determinación de los métodos de proceder durante una prueba de penetración de aplicaciones web.
Para realizar la fase de reconocimiento y detectar un WAF la herramienta Wafw00f es la mas apropiada. Es una herramienta programada en Python que automatiza un conjunto de procedimientos que se utilizan en el fingerprinting de un WAF. Wafw00f utiliza una simple consulta al servidor web con un conjunto de peticiones HTTP y métodos, analiza las respuestas de ellos y detecta el servidor de seguridad.
Las fases de funcionamiento de WAFW00F son las siguientes:
- Envía una petición HTTP normal y analiza la respuesta; esto identifica una serie de soluciones WAF.
- Si esto no tiene éxito, se envía una serie de peticiones (potencialmente maliciosas) HTTP y utiliza la lógica simple para deducir si existe un WAF.
- Si esto no tiene éxito, se analizan las respuestas devueltas previamente y utiliza otro algoritmo sencillo para adivinar si un WAF o solución de seguridad está respondiendo activamente a nuestros ataques.
Los WAF que puede detectar WAFW00F son los siguientes: Anquanbao, Juniper WebApp Secure, IBM Web Application Security, Cisco ACE XML Gateway, Better WP Security, F5 BIG-IP APM, 360WangZhanBao, ModSecurity (OWASP CRS), PowerCDN, Safedog, F5 FirePass, DenyALL WAF, Trustwave ModSecurity, CloudFlare, Imperva SecureSphere, Incapsula WAF, Citrix NetScaler, F5 BIG-IP LTM, Art of Defence HyperGuard, Aqtronix WebKnight, Teros WAF, eEye Digital Security SecureIIS, BinarySec, IBM DataPower, Microsoft ISA Server, NetContinuum, NSFocus, ChinaCache-CDN, West263CDN, InfoGuard Airlock, AdNovum nevisProxy, Barracuda Application Firewall, F5 BIG-IP ASM, Profense, Mission Control Application Shield, Microsoft URLScan, Applicure dotDefender, USP Secure Entry Server y F5 Trafficshield.
Fuente:https://www.gurudelainformatica.es/2017/06/fingerprinting-de-cortafuegos-de.html
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad