В ходе автоматизированного тестирования на проникновение специалисты выявили новую технику эксплуатации межсайтового скриптинга (XSS), позволяющую эффективно обходить даже строго настроенные веб-экран (Web Application Firewall, WAF). Исследование продемонстрировало, что 70,6% протестированных конфигураций WAF уязвимы к атакам с использованием загрязнения параметров HTTP (HTTP Parameter Pollution).
Уязвимость была обнаружена в ASP.NET-приложении, защищенном WAF с жесткими правилами. Традиционные нагрузки XSS блокировались системой защиты, однако использование техники загрязнения параметров позволило обойти эти ограничения. Метод основан на особенности ASP.NET, которая при наличии нескольких параметров с одинаковыми именами объединяет их значения через запятую.
Было протестировано 17 конфигураций WAF от ведущих поставщиков, включая AWS, Google Cloud, Azure, Cloudflare и других. Результаты показали, что только три конфигурации успешно блокировали все тестовые нагрузки: Google Cloud Armor с правилами ModSecurity, Azure WAF с набором правил Microsoft Default Rule Set 2.1 и все три конфигурации open-appsec.
Особый интерес представляют испытания автономной системы тестирования (hackbot), которая смогла найти обходные пути даже для тех WAF, которые успешно блокировали ручные атаки. Например, для Azure WAF был обнаружен простой bypass с использованием экранированных символов: test\\';alert(1);//. Для open-appsec в конфигурации Critical обход был найден всего за 30 секунд.
Исследование подчеркивает фундаментальную проблему безопасности: WAF принимают решения без полного моделирования поведения парсера приложения. Это создает разрыв в безопасности, который трудно обнаружить с помощью традиционного сигнатурного анализа. Машинное обучение показывает лучшие результаты, но также не является панацеей, как продемонстрировали испытания hackbot.
Результаты работы свидетельствуют о необходимости комплексного подхода к безопасности, где WAF служит дополнительным, а не основным слоем защиты. Разработчикам рекомендуется уделять больше внимания безопасному кодированию и регулярному тестированию на проникновение, включая автоматизированные системы, способные находить сложные векторы атак.
Данное исследование наглядно демонстрирует, что современные системы защиты веб-приложений остаются уязвимыми к sophisticated атакам, и подчеркивает важность непрерывного совершенствования методов безопасности как со стороны поставщиков решений, так и со стороны разработчиков приложений.
