WAF Bypass
Regex Geçişleri
Farklı teknikler, güvenlik duvarlarındaki regex filtrelerini geçmek için kullanılabilir. Örnekler arasında büyük/küçük harf değiştirme, satır sonu eklemek ve payload'ları kodlamak bulunur. Farklı geçiş teknikleri için PayloadsAllTheThings ve OWASP kaynaklarına bakabilirsiniz. Aşağıdaki örnekler bu makaleden alınmıştır.
Karakter Seti Kodlaması
Charset encoding, web uygulamalarında kullanılan karakterlerin nasıl kodlandığını belirleyen bir mekanizmadır. Bu kodlama, web sunucusu ve tarayıcı arasında karakterlerin doğru bir şekilde iletilmesini sağlar. Ancak, bazı durumlarda karakter seti kodlaması, web uygulamalarının güvenliğini artırmak için kullanılan bir güvenlik önlemi olarak da kullanılabilir.
Web uygulamalarını hedef alan saldırganlar, karakter seti kodlamasını manipüle ederek Web Uygulama Güvenlik Duvarı'nı (WAF) atlayabilirler. Bu, saldırganların zararlı kodları veya saldırı vektörlerini gizlemelerine ve web uygulamasının güvenlik önlemlerini aşmalarına olanak tanır.
WAF bypass teknikleri arasında karakter seti kodlamasını manipüle etmek de bulunur. Saldırganlar, karakter seti kodlamasını değiştirerek zararlı kodları veya saldırı vektörlerini gizleyebilirler. Bu, WAF'ın zararlı içeriği algılamasını zorlaştırır ve saldırganlara web uygulamasına erişim sağlar.
Karakter seti kodlamasını manipüle etmek için çeşitli teknikler bulunur. Bunlar arasında karakter seti dönüşümü, karakter seti kaçışı ve karakter seti karıştırma gibi yöntemler bulunur. Saldırganlar, bu teknikleri kullanarak WAF'ı atlayabilir ve web uygulamasına zarar verebilirler.
Karakter seti kodlaması manipülasyonu, web uygulamalarının güvenlik açıklarını tespit etmek ve kapatmak için kullanılan bir pentesting tekniğidir. Bu teknik, web uygulamalarının güvenliğini artırmak ve saldırılara karşı korumak için önemlidir.
Obfuskasyon
Obfuskasyon, saldırganların saldırılarını tespit etmek ve engellemek için kullanılan Web Uygulama Güvenlik Duvarı'nı (WAF) atlatmak için kullanılan bir tekniktir. Obfuskasyon, saldırıyı gizlemek veya saldırıyı WAF tarafından algılanmasını zorlaştırmak için kullanılan çeşitli yöntemleri içerir.
Karakter Kodlaması
Karakter kodlaması, saldırıyı gizlemek için saldırı dizelerini farklı karakterlerle değiştirme işlemidir. Bu, WAF'ın saldırıyı algılamasını zorlaştırır. Örneğin, <script>
ifadesini <script>
olarak kodlamak, WAF'ın bu ifadeyi algılamasını engeller.
Karakter Dizisi Birleştirme
Karakter dizisi birleştirme, saldırı dizelerini birden çok karakter dizisine bölmek ve ardından bu karakter dizilerini birleştirerek saldırıyı gerçekleştirmektir. Bu, WAF'ın saldırıyı algılamasını zorlaştırır çünkü saldırı dizisi parçalara ayrıldığı için bütün olarak algılanmaz.
Büyük/Küçük Harf Değiştirme
Büyük/küçük harf değiştirme, saldırı dizelerindeki harfleri büyük veya küçük harflerle değiştirme işlemidir. Bu, WAF'ın saldırıyı algılamasını zorlaştırır çünkü harflerin büyük veya küçük olması WAF tarafından farklı şekilde işlenir.
Boşluk Ekleme
Boşluk ekleme, saldırı dizelerine ekstra boşluk karakterleri eklemektir. Bu, WAF'ın saldırıyı algılamasını zorlaştırır çünkü eklenen boşluk karakterleri saldırıyı değiştirir ve WAF'ın saldırıyı tanımasını engeller.
Karakter Dizisi Karıştırma
Karakter dizisi karıştırma, saldırı dizelerindeki karakterleri rastgele sıralamak veya yerlerini değiştirmektir. Bu, WAF'ın saldırıyı algılamasını zorlaştırır çünkü saldırı dizisi düzeni değiştiği için WAF tarafından tanınmaz.
HTML Etiketi Ekleme
HTML etiketi ekleme, saldırı dizelerine HTML etiketleri eklemektir. Bu, WAF'ın saldırıyı algılamasını zorlaştırır çünkü eklenen HTML etiketleri saldırıyı değiştirir ve WAF'ın saldırıyı tanımasını engeller.
URL Kodlaması
URL kodlaması, saldırı dizelerini URL kodlaması kullanarak değiştirmektir. Bu, WAF'ın saldırıyı algılamasını zorlaştırır çünkü URL kodlaması kullanılan saldırı dizisi WAF tarafından farklı şekilde işlenir.
Unicode Uyumluluğu
Unicode normalizasyonunun uygulamasına bağlı olarak (daha fazla bilgi için buraya), Unicode uyumluluğunu paylaşan karakterler WAF'ı atlayabilir ve amaçlanan yükü çalıştırabilir. Uyumlu karakterler burada bulunabilir.
Örnek
Boyut Sınırlarını Aşma
Bulut tabanlı WAF'lerde, yük boyutu X'ten büyükse, istek WAF tarafından kontrol edilmez. Bunları atlamak için sadece bunu kullanabilirsiniz.
IP Dönüşümü
Last updated