Un método sofisticado para evitar las protecciones de firewall de aplicación web (WAF) utilizando técnicas de contaminación de parámetros HTTP combinadas con inyección de JavaScript.
La investigación, realizada por Bruno Mendes en 17 configuraciones de WAF diferentes de los principales proveedores, incluidos AWS, Google Cloud, Azure y Cloudflare, reveló vulnerabilidades alarmantes en la infraestructura de seguridad web actual.
La técnica explota las diferencias de análisis fundamentales entre los motores WAF y los marcos de aplicaciones web, particularmente el comportamiento de manejo de parámetros de ASP.NET, para ejecutar ataques de secuencias de comandos de sitios cruzados (XSS) que evaden mecanismos tradicionales de detección de seguridad.
Control de llave
1. división de cargas de XSS en múltiples parámetros HTTP derrota la detección de WAF.
2. Solo 3 de 17 configuraciones principales de WAF bloquearon ataques de contaminación de parámetros sofisticados.
3. AI Hackbot logró el éxito del 100% de omisión, encontrando exploits simples en segundos.
Explotación de la concatenación de parámetros ASP.NET
La técnica de avance aprovecha el comportamiento específico de ASP.NET al procesar los parámetros HTTP duplicados.
Cuando ASP.NET encuentra múltiples parámetros con el mismo nombre a través de su método httputility.PARSECHERYTRING (), concatena sus valores usando comas.
Este comportamiento crea una oportunidad para los derivaciones sofisticadas cuando se combina con la sintaxis del operador de coma de JavaScript.
Los investigadores de Ethiack demostraron cómo una cadena de consulta aparentemente benigna como /? Q = 1 ‘& Q = Alert (1) & Q =’ 2 es procesada por ASP.NET en el Formulario 1 ‘, alerta (1),’ 2.
Cuando esta carga útil se inserta en un contexto de JavaScript, como userInput = ‘user_controlled_data’;, se convierte en código javaScript válido: userInput = ‘1’, alert (1), ‘2 ′ ;.
El operador de coma en JavaScript evalúa cada expresión secuencialmente, ejecutando efectivamente la función de alerta maliciosa (1) mientras mantiene la validez sintáctica.
Las WAF tradicionales luchan para detectar esta técnica porque generalmente analizan los parámetros individuales en lugar de comprender cómo los marcos web analizan y concatenan los valores de parámetros múltiples.
Bruno Mendes probado Tres cargas útiles cada vez más sofisticadas, que van desde intentos de inyección simples como q = ”; alerta (1), ‘hasta cargas útiles de contaminación de parámetros complejos utilizando líneas nuevas y asignaciones variables como Q = 1’%0aasd = Window & Q = def = “al”+”ert” & Q = asd (def) (1)+’.
Vulnerabilidades de WAF descubiertas
Los resultados de las pruebas expusieron brechas significativas en los mecanismos actuales de protección de la WAF.
Solo tres de las 17 configuraciones probadas bloquearon con éxito todas las cargas útiles manualmente elaboradas manualmente: Google Cloud Armor con reglas de seguridad modificada, Azure WAF con el conjunto de reglas predeterminados de Microsoft 2.1 y todas las configuraciones abiertas.
En particular, los múltiples conjuntos de reglas WAF de AWS, incluidas las reglas administradas de AWS, el conjunto de reglas de la nube de seguridad cibernética y el conjunto de reglas F5, fueron por completo por cada carga útil probada.
Las tasas de éxito de derivación aumentaron drásticamente con la complejidad de la carga útil, aumentando de 17.6% para cargas útiles simples a 70.6% para técnicas sofisticadas de contaminación de parámetros.
Aún más preocupante, el “Hackbot” automatizado de los investigadores alcanzó una tasa de evasión de detección del 100%, encontrando con éxito los derivaciones para configuraciones WAF previamente resistentes.
Por ejemplo, el Hackbot descubrió que Azure Waf podría pasar por alto utilizando una prueba de carga útil simple \\ ‘; alerta (1); // que explota las discrepancias de análisis en el manejo de carácter escapado.
Respuesta del agente
La investigación destacó una paradoja crítica de seguridad: las organizaciones que invierten en soluciones de WAF costosas pueden seguir siendo vulnerables tanto a los ataques de contaminación de parámetros sofisticados como a las técnicas de derivación sorprendentemente simples.
Los resultados demuestran que los WAF basados en la firma son particularmente susceptibles a estos ataques, mientras que las soluciones basadas en el aprendizaje automático muestran mejores capacidades de detección, pero aún contienen vulnerabilidades explotables.
Esta investigación subraya la limitación fundamental que WAFS no puede simular completamente el comportamiento de análisis de aplicaciones, creando vulnerabilidades diferenciales que los atacantes calificados pueden explotar.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
