Инструмент для анализа
Пару недель назад обновилась до версии 1 достаточно интересная утилита wafw00f. Она позволяет определить каким межсетевым экраном уровня приложения (web application firewall или WAF) защищен web сайт. Поддерживается 112 WAF.
Принцип работы достаточно простой, работает быстро:
- Отправляем нормальный http запрос
- Отправляем несколько заведомо подозрительных http запросов, которые WAF (если присутствует) обязан заблокировать
- По реакции (код ошибки, заголовки, изменение версии web сервера) web сервера / WAF пытаемся определить какое средство защиты используется.
Необходимость применения WAF для защиты важных web ресурсов уже давно осознаны, в БДУ ФСТЭК России есть много угроз для web, справится с которыми поможет только WAF, в системе сертификации есть отдельный класс МЭ уровня приложений и даже 3 сертифицированных решения типа Г.
Применение WAF в РФ
Было интересно посмотреть какая сейчас статистика использования WAF для защиты российских ресурсов. Для TOP 450 российских сайтов по версии Яндекса получилась следующая картинка.
Применение WAF в РФ Количество %
Не используют WAF 391 86,89%
Используют неизвестный WAF или межсетевой экран / IPS с функцией защиты web 37 8,22%
Cloudflare WAF 21 4,67%
CacheWall WAF 1 0,22%
Выводы.
Более 85% ресурсов не защищены WAF. Показатель плачевный.
Около 8 процентов используют средства защиты, которое не удалось утилита не смогла определить (возможно PT AF или Континент WAF), что в общем то хорошо, так как злоумышленникам сложнее обойти средства защиты, о которых ничего не известно.
