Z
Не все rce сможет скушать waf ну и у waf находят байпасы
Size: a a a
2019 May 07
Z
Так что на один ваф-ваф надежды нет:)
Z
А еще и ваф проверять надо, у меня есть 4-5 кейсов когда в вафке статус - включен, а он по факту выключен
VG
@vbengin у вас очень крутые пентестеры и ты говорил что 100% у вас успех. А были компании, где веб вы не пробили?
Z
Это реальный кейс на вафку отечественного разработчика. Владелец защищаемых ИСов, мой знакомый, прифигел когда вафка не детектит и пропускает sql injection.
EB
Я уверен, что та инъекция была специально модифицирована для обхода сигнатурных движков
Z
Ага, sqlmapом
Z
Без tampers
Z
Причина пропуска банальная, завис демон отправки сообщений в облако валларма
EB
Слив :D
Z
Завис демон - вафка пропускает. Как тебе такое Иллон Маск??
EB
Я уверен, что та инъекция была специально модифицирована для обхода сигнатурных движков
Помимо этого не была видимо достроена позитивная модель безопасности, ибо то количество страшных спецсимволов которое используется в sql инъекциях поймает даже машин лернинг на регрессии)
Z
Потом всеравно были пропуски sql inj, долгое общение с тех.поддержкой и кастомизация правил. Внимание вопрос, если бы я не стал ставить на защищаемом ресурсе ковычки, о отсутствии защиты узнали бы в результате инцидента?
EB
Ну я это в продолжении про работающую машинку, конечно
EB
Ну, так, доверяй, но проверяй :)
Z
/me когда же мои руки дойдут до ptaf....
Z
Ну, так, доверяй, но проверяй :)
О том и речь, а кто проверяет?:) права купил, машину купил, ездить не купил
EB
На самом деле WAF, очень клево использовать для трет хантинга. Владимир правильно спозиционировал роль вафа, поставить и наблюдать. А не поставить и заблочить все к чертовой матери. Далее либо из логов вафа, либо по результатам анализа защищённости создавать виртуальные патчи закрывающие конкретные, подтвержденные уязвимости.
NA
СРЗИ не сработало, т.к. было вырублено - оно фиговое. Экстраполируем дальше: любле СРЗИ - фиговое. О чем это я.... Ах, да. Давайте наработки на отказ тестить как наработки на отказ, а функциональность, как функциональность и не смешивать.