SysFailure

Imprimer

Les WAF - un concours canin

.

Incapsula

Il s'agit d'une société née de la scission d'Imperva

Incapsula fonctionne par redirection DNS, à l'aide d'un CNAME vers la zone x.incapdns.net. Le filtrage est plus avancé que celui de Xybershield, avec une liste noire bien construite et des mécanismes de notation pouvant amener à un rejet. Toutefois, les en-têtes HTTP ne sont pas contrôlés, et de nombreux éléments sont absents de la liste noire.

Contournement du filtrage

Le contournement du filtrage, notamment des injections SQL, est relativement facile. Une injection SQL sémantiquement équivalente à une injection classique bloquée (UNION SELECT), mais contenant un mot-clé complémentaire (UNION DISTINCT SELECT) ne sera pas bloquée.

Le filtrage XSS ne prend pas en compte de très nombreux mots-clés pourtant importants.

Injection d'en-têtes HTTP

Lors du renvoi des requêtes vers le véritable serveur Web, Incapsula ajoute des en-têtes spécifiques. Si l'internaute a déjà injecté ces en-têtes dans sa requête entrante, les valeurs qu'il a définies seront ajoutées à celles transmises au serveur Web

Le code ajouté à l'application afin de traiter ces en-têtes rencontre diverses difficultés lorsqu'il s'agit de variables multi-valuées.

Ciblage du véritable serveur Web

En cas de requête vers le WAF, mais concernant un port filtré, le message d'erreur obtenu indique le dernier octet de l'adresse du véritable serveur Web. S'il est possible de tenter une recherche exhaustive sur les trois octets précédents, cela pourrait être quelque peu long.

L'utilisation de Google ou de Netcraft permet de déterminer beaucoup plus rapidement l'adresse IP du serveur réel, et de se connecter ensuite dessus sans passer par le WAF.

Interface d'administration

Il est naturel que l'interface d'administration offre des fonctionnalités sensibles, comme l'activation ou la désactivation du filtrage, la définition de l'adresse IP vers laquelle renvoyer les requêtes validées, la gestion des listes blanches, etc. Un accès illégitime à l'interface d'un client est donc un risque majeur.

L'interface d'administration d'Incapsula est affectée :

  • de nombreux XSS,
  • de vulnérabilités de type Insecure Direct Object Reference (OWASP Top 10 2010-A4,et probablement Top 10 2013-A4). Cela permet de prendre le contrôle d'un compte tiers, avec les conséquences que l'on imagine.