Les WAF - un concours canin
Incapsula
Il s'agit d'une société née de la scission d'Imperva
Incapsula fonctionne par redirection DNS, à l'aide d'un CNAME vers la zone x.incapdns.net. Le filtrage est plus avancé que celui de Xybershield, avec une liste noire bien construite et des mécanismes de notation pouvant amener à un rejet. Toutefois, les en-têtes HTTP ne sont pas contrôlés, et de nombreux éléments sont absents de la liste noire.
Contournement du filtrage
Le contournement du filtrage, notamment des injections SQL, est relativement facile. Une injection SQL sémantiquement équivalente à une injection classique bloquée (UNION SELECT), mais contenant un mot-clé complémentaire (UNION DISTINCT SELECT) ne sera pas bloquée.
Le filtrage XSS ne prend pas en compte de très nombreux mots-clés pourtant importants.
Injection d'en-têtes HTTP
Lors du renvoi des requêtes vers le véritable serveur Web, Incapsula ajoute des en-têtes spécifiques. Si l'internaute a déjà injecté ces en-têtes dans sa requête entrante, les valeurs qu'il a définies seront ajoutées à celles transmises au serveur Web
Le code ajouté à l'application afin de traiter ces en-têtes rencontre diverses difficultés lorsqu'il s'agit de variables multi-valuées.
Ciblage du véritable serveur Web
En cas de requête vers le WAF, mais concernant un port filtré, le message d'erreur obtenu indique le dernier octet de l'adresse du véritable serveur Web. S'il est possible de tenter une recherche exhaustive sur les trois octets précédents, cela pourrait être quelque peu long.
L'utilisation de Google ou de Netcraft permet de déterminer beaucoup plus rapidement l'adresse IP du serveur réel, et de se connecter ensuite dessus sans passer par le WAF.
Interface d'administration
Il est naturel que l'interface d'administration offre des fonctionnalités sensibles, comme l'activation ou la désactivation du filtrage, la définition de l'adresse IP vers laquelle renvoyer les requêtes validées, la gestion des listes blanches, etc. Un accès illégitime à l'interface d'un client est donc un risque majeur.
L'interface d'administration d'Incapsula est affectée :
- de nombreux XSS,
- de vulnérabilités de type Insecure Direct Object Reference (OWASP Top 10 2010-A4,et probablement Top 10 2013-A4). Cela permet de prendre le contrôle d'un compte tiers, avec les conséquences que l'on imagine.