AWS - WAF Enum

AWS WAF

AWS WAF je web aplikacioni firewall dizajniran da zaštiti web aplikacije ili API-je od raznih web eksploatacija koje mogu uticati na njihovu dostupnost, sigurnost ili potrošnju resursa. Omogućava korisnicima da kontrolišu dolazni saobraćaj postavljanjem bezbednosnih pravila koja umanjuju tipične vektore napada poput SQL injection-a ili cross-site scripting-a, kao i definisanjem prilagođenih pravila za filtriranje.

Kriterijumi za praćenje (Uslovi)

Uslovi određuju elemente dolaznih HTTP/HTTPS zahteva koje AWS WAF prati, a koji uključuju XSS, geografsku lokaciju (GEO), IP adrese, ograničenja veličine, SQL Injection i obrasce (stringove i regex poklapanje). Važno je napomenuti da zahtevi ograničeni na CloudFront nivou na osnovu zemlje neće stići do WAF-a.

Svaki AWS nalog može konfigurisati:

• 100 uslova za svaki tip (osim za Regex, gde je dozvoljeno samo 10 uslova, ali ovo ograničenje se može povećati).

• 100 pravila i 50 Web ACL-ova.

• Maksimalno 5 pravila zasnovana na stopi.

• Protok od 10.000 zahteva u sekundi kada se WAF implementira sa balanserom opterećenja aplikacija.

Konfiguracija pravila

Pravila se kreiraju koristeći određene uslove. Na primer, pravilo može blokirati zahtev ako ispunjava 2 specifična uslova. Postoje dva tipa pravila:

1. Regularno pravilo: Standardno pravilo zasnovano na određenim uslovima.

2. Pravilo zasnovano na stopi: Broji zahteve sa određene IP adrese tokom petominutnog perioda. Korisnici ovde definišu prag, i ako broj zahteva sa IP adrese premaši ovaj limit u roku od pet minuta, sledeći zahtevi sa te IP adrese su blokirani sve dok se stopa zahteva ne smanji ispod praga. Minimalni prag za pravila zasnovana na stopi je 2000 zahteva.

Akcije

Akcije se dodeljuju svakom pravilu, a opcije su Dozvoli, Blokiraj ili Broj:

• Dozvoli: Zahtev se prosleđuje odgovarajućem CloudFront distribuciji ili balanseru opterećenja aplikacija.

• Blokiraj: Zahtev se odmah prekida.

• Broj: Broji zahteve koji ispunjavaju uslove pravila. Ovo je korisno za testiranje pravila, potvrđivanje tačnosti pravila pre nego što se postavi na Dozvoli ili Blokiraj.

Ako zahtev ne odgovara nijednom pravilu unutar Web ACL-a, podleže podrazumevanoj akciji (Dozvoli ili Blokiraj). Redosled izvršavanja pravila, definisan unutar Web ACL-a, je ključan i obično sledi ovaj redosled:

1. Dozvoli IP adrese sa belih lista.

2. Blokiraj IP adrese sa crnih lista.

3. Blokiraj zahteve koji se poklapaju sa bilo kojim štetnim potpisima.

Integracija sa CloudWatch-om

AWS WAF se integriše sa CloudWatch-om za praćenje, pružajući metrike poput AllowedRequests, BlockedRequests, CountedRequests i PassedRequests. Ove metrike se podrazumevano prikazuju svaki minut i čuvaju se u periodu od dve nedelje.

Enumeracija

opseg može biti i CLOUDFRONT, ali kada proveravate WAF koji nije povezan sa Cloudfrontom, trebate koristiti REGIONAL.

# Get web acls
aws wafv2 list-web-acls --scope REGIONAL
aws wafv2 get-web-acl --scope REGIONAL --name <name> --id <id>
aws wafv2 list-resources-for-web-acl --web-acl-arn <web-acl-arn> #Resources associated with the ACL
aws wafv2 get-web-acl-for-resource --resource-arn <arn> # Get web acl of the resource

# Rule groups
aws wafv2 list-rule-groups --scope REGIONAL
aws wafv2 get-rule-group --scope REGIONAL --name <name> --id <id>

# Get IP sets
aws wafv2 list-ip-sets --scope=REGIONAL
aws wafv2 get-ip-set --scope=REGIONAL --name <name> --id <id>

# Get regex patterns
aws wafv2 list-regex-pattern-sets --scope REGIONAL

# Get logging config (buckets storing the logs)
aws wafv2 list-logging-configurations --scope=REGIONAL

Post Eksploatacija / Bypass

TODO: PR-ovi su dobrodošli

Reference

• https://www.citrusconsulting.com/aws-web-application-firewall-waf/#:~:text=Conditions%20allow%20you%20to%20specify,user%20via%20a%20web%20application.