no one is safe ...

Web Application Firewalls around the net ... oder so ähnlich

Web Application Firewalls (WAF) sind sicherlich nicht das Allheilmittel gegen Angriffe auf schlecht programmierte Webapplikationen. Allerdings machen sie in sehr vielen Fällen durchaus Sinn, da sie im Normalfall einen gewissen Grundschutz bieten und zumindest im Stande sind bekannte Angriffe abzuwehren.

In sehr vielen Einsatzfällen bestehen Webapllikationen bereits seit langer Zeit und haben mehr oder weniger bekannte Schwachstellen aus vergangenen Tagen. Diese Applikationen lassen sich nicht sofort ersetzten und können dementsprechend ein erhöhtes Angriffspotential über eine längere Zeitspanne bieten. In den meisten Fällen, in denen solche Webapplikationen vorhanden sind, machen WAFs durchaus Sinn, da sie eine gewisse Grundabsicherung bieten, bis die eigentliche Applikationslogik abgesichert oder ersetzt wurde.

Dieser Artikel soll weder die Vor-, noch die Nachteile der WAF-Technologie bzw. der einzelnen WAF Produkte bewerten, es geht ausschließlich darum welche Produkte in der freien Wildbahn anzutreffen sind. Als Bewertungsgrundlage dient eine Stichprobe von derzeit 880 Webseiten (genaue URLs werden nicht bekannt gegeben). Sehr viele davon kommen mehr oder weniger aus dem IT Security Bereich, wo man im Normalfall eine gewisse Awareness im Bereich Webapplikationssecurity voraussetzen kann.

Um die Fragen der häufig verbreiteten Produkte zu klären gibt es wafw00f, ein Python Tool welches sich auf die Erkennung von WAFs spezialisiert hat.

Im Normalfall sollte Wafw00f die folgenden WAF Produkte erkennen:

  • Profense
  • DenyALL
  • NetContinuum
  • Barracuda
  • HyperGuard
  • BinarySec
  • Teros
  • F5 Trafficshield
  • F5 ASM
  • Airlock
  • Citrix NetScaler
  • ModSecurity
  • dotDefender
  • webApp.secure
  • ModSecurity (positive model)
  • BIG-IP
  • URLScan
  • WebKnight
  • SecureIIS

Wafw00f ist sehr einfach zu bedienen, da man im Normalfall nur den Hostnamen als Parameter angeben muss. Auf einer Backtrack 4-prefinal wird wafw00f bereits mitgeliefert und folgende Kommandos führen zum Erfolg:

cd /pentest/web/waffit
./waffw00f http://www.s3cur1ty.de

Basierend auf der Erkennungsrate von wafw00f wurden 880 Webseiten auf den Einsatz dieser Sicherheitstechnologie geprüft.
Die folgenden Ergebnisse stellen die Ergebnisse ob Web Application Firewalls eingesetzt werden graphisch dar:

Nach den bereits dargestellen Ergebnissen kommt in der nächster Graphik die Häufigkeit der eingesetzten Technologie bzw. das Produkt zum tragen:

Alle Systeme die nicht häufiger als 2 Mal eingesetzt wurden, wurden als "Unknown WAF" angesehen!

weitere Links zum Thema:

hf
m1k3