Comments 5
Как вы считаете, насколько необходим WAF, если веб-сервер имеет жёсткое json-rpc api, фиксированный набор аргументов и полностью самописных клиентов (свои собственные http-заголовки)? Несколькими простыми проверками в конфиге nginx я могу отсеять 99% левого траффика. А веб-сервер также собственного изготовления, в нём нет прямого взаимодействия с БД, нет вообще веб-контента, а только ДТО из json в другие форматы (в том числе бинарные).
Фактически вы путем настройки nginx закрываете функционал WAF, фильтруя те параметры, которые возможно вписать в заполняемые поля. Дальше идет вопрос вероятностей – уверены ли вы, что учли все варианты. В целом кейс очень занятный, поэтому интересно было бы посмотреть в логах WAF, какие именно запросы отправляются на сервер. Можем предложить пилотный вариант и посмотреть на результаты. В качестве альтернативы также можем предложить услуги команды пентеста;)
Нет, я конечно не уверен, потому в целом не против WAF, но полагаю, что первичная фильтрация в конфиге nginx быстрее, чем прогон через правила WAF? Вариант «посмотреть» не совсем ко мне, я вообще разработчик, а WAF мне интересен только в плане того, что на нём могут потеряться нужные мне запросы. А насчёт пентеста я попробую узнать.
В целом через nginx конечно же быстрее, но так как веб-сервер собственного изготовления и http заголовки свои, то остается достаточно высокая вероятность ошибки конфигурации и обработки собственных http заголовков, поэтому в итоге остается возможность RCE и OS commanding большое. В данном случае анализ защищенности данного веб-приложения был бы логичен. Это поможет оценить состояние целиком и понять актуальность применения WAF. Действительно, может оказаться, что векторов развития атак немного и их все можно закрыть без использования специализированного класса решения.
Sign up to leave a comment.
Как жить с WAF, чтобы не было мучительно больно