AWS - WAF Enum

AWS - WAF Αναγνώριση

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

AWS WAF

Το AWS WAF είναι ένα τείχος προστασίας εφαρμογών ιστού που έχει σχεδιαστεί για να προστατεύει τις εφαρμογές ιστού ή τις διεπαφές προγραμματισμού εφαρμογών (APIs) από διάφορες εκμεταλλεύσεις ιστού που μπορεί να επηρεάσουν τη διαθεσιμότητά τους, την ασφάλειά τους ή την κατανάλωση πόρων τους. Επιτρέπει στους χρήστες να ελέγχουν την εισερχόμενη κίνηση ορίζοντας κανόνες ασφαλείας που αντιμετωπίζουν τυπικά διανύσματα επίθεσης όπως η εισαγωγή SQL ή η διασταύρωση τοποθεσιών και επίσης ορίζοντας προσαρμοσμένους κανόνες φιλτραρίσματος.

Κριτήρια Παρακολούθησης (Συνθήκες)

Οι συνθήκες καθορίζουν τα στοιχεία των εισερχόμενων αιτημάτων HTTP/HTTPS που παρακολουθεί το AWS WAF, τα οποία περιλαμβάνουν XSS, γεωγραφική τοποθεσία (GEO), διευθύνσεις IP, περιορισμούς μεγέθους, εισαγωγή SQL και πρότυπα (συμφωνία με συμβολοσειρές και regex). Σημαντικό είναι να σημειωθεί ότι τα αιτήματα που περιορίζονται στο επίπεδο CloudFront βάσει της χώρας δεν θα φτάσουν στο WAF.

Κάθε λογαριασμός AWS μπορεί να διαμορφώσει:

  • 100 συνθήκες για κάθε τύπο (εκτός από το Regex, όπου επιτρέπονται μόνο 10 συνθήκες, αλλά αυτό το όριο μπορεί να αυξηθεί).

  • 100 κανόνες και 50 Web ACLs.

  • Ένα μέγιστο 5 κανόνες βάσει του ρυθμού.

  • Ένα ρυθμό μετάδοσης 10.000 αιτημάτων ανά δευτερόλεπτο όταν το WAF εφαρμόζεται με έναν εξισορροπητή φορτίου εφαρμογής.

Διαμόρφωση Κανόνων

Οι κανόνες δημιουργούνται χρησιμοποιώντας τις καθορισμένες συνθήκες. Για παράδειγμα, ένας κανόνας μπορεί να αποκλείσει ένα αίτημα εάν πληροί 2 συγκεκριμένες συνθήκες. Υπάρχουν δύο τύποι κανόνων:

  1. Κανονικός Κανόνας: Κανονικός κανόνας βασισμένος σε καθορισμένες συνθήκες.

  2. Κανόνας βάσει του ρυθμού: Μετρά τα αιτήματα από μια συγκεκριμένη διεύθυνση IP για ένα πεντάλεπτο διάστημα. Εδώ, οι χρήστες καθορίζουν ένα όριο, και εάν ο αριθμός των αιτημάτων από μια IP υπερβαίνει αυτό το όριο εντός πέντε λεπτών, τα επόμενα αιτήματα από αυτήν την IP αποκλείονται μέχρι ο ρυθμός των αιτημάτων να πέσει κάτω από το όριο. Το ελάχιστο όριο για τους κανόνες βάσει του ρυθμού είναι 2000 αιτήματα.

Ενέργειες

Σε κάθε κανόνα αντιστοιχίζονται ενέργειες, με τις επιλογές να είναι Επιτρέπεται, Αποκλείεται ή Μετράται:

  • Επιτρέπεται: Το αίτημα ανακατευθύνεται στην κατάλληλη διανομή CloudFront ή στον εξισορροπητή φορτίου εφαρμογής.

  • Αποκλείεται: Το αίτημα τερματίζεται αμέσως.

  • Μετράται: Καταμετρά τα αιτήματα που πληρούν τις συνθήκες του κανόνα. Αυτό είναι χρήσιμο για τον έλεγχο του κανόνα, για την επιβεβαίωση της ακρίβειάς του πριν τον ορίσετε ως Επιτρέπεται ή Αποκλείεται.

Εάν ένα αίτημα δεν ταιριάζει με κανέναν κανόνα εντός του Web ACL, υπόκειται στη προεπιλεγμένη ενέργεια (Επιτρέπεται ή Αποκλείεται). Η σειρά εκτέλεσης των κανόνων, που καθορίζεται εντός ενός Web ACL, είναι κρίσιμη και συνήθως ακολουθεί αυτήν την ακολουθία:

  1. Επι

# Get web acls
aws wafv2 list-web-acls --scope REGIONAL
aws wafv2 get-web-acl --scope REGIONAL --name <name> --id <id>
aws wafv2 list-resources-for-web-acl --web-acl-arn <web-acl-arn> #Resources associated with the ACL
aws wafv2 get-web-acl-for-resource --resource-arn <arn> # Get web acl of the resource

# Rule groups
aws wafv2 list-rule-groups --scope REGIONAL
aws wafv2 get-rule-group --scope REGIONAL --name <name> --id <id>

# Get IP sets
aws wafv2 list-ip-sets --scope=REGIONAL
aws wafv2 get-ip-set --scope=REGIONAL --name <name> --id <id>

# Get regex patterns
aws wafv2 list-regex-pattern-sets --scope REGIONAL

# Get logging config (buckets storing the logs)
aws wafv2 list-logging-configurations --scope=REGIONAL

Μετά την Εκμετάλλευση / Παράκαμψη

Από την πλευρά του επιτιθέμενου, αυτή η υπηρεσία μπορεί να βοηθήσει τον επιτιθέμενο να αναγνωρίσει τις προστασίες WAF και τις εκθέσεις του δικτύου που θα μπορούσαν να τον βοηθήσουν να παραβιάσει άλλες ιστοσελίδες.

Ωστόσο, ένας επιτιθέμενος θα μπορούσε επίσης να ενδιαφέρεται να διαταράξει αυτήν την υπηρεσία, ώστε οι ιστοσελίδες να μην προστατεύονται από το WAF.

TODO: Οι PRs είναι ευπρόσδεκτες

Αναφορές

  • https://www.citrusconsulting.com/aws-web-application-firewall-waf/#:~:text=Conditions%20allow%20you%20to%20specify,user%20via%20a%20web%20application.

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Last updated