السبت، 22 مارس 2014

تخطى الفايرول ‘الجدار النارى ‘ لتطبيقات الويب


تخطى الفايرول ‘الجدار النارى ‘ لتطبيقات الويب
تخطى الفايرول
بسم الله الرحمن الرحيم
سنتكلم اليوم عن wafs “web applications firewalls”
ما هو wafs?
هو جدار نارى ولكنه يعتمد على بروتكول http لذا فهو مخصص لحماية تطبيقات الويب
ما مميزات wafs?
 يحمى موقعك من اخطر الهجمات مثل ثغرات حقن قواعد البيانات
وثغرات xss وهجمات حجب الخدمة
كما انه يقوم بتشفير الكوكيز
ما عيوب wafs?
عالى التكلفة كما انه ايضا عرضة للإختراق ويحتوى على ثغرات
 ولكن يوجد جدار نارى مجانى ومفتوح المصدر
مثل ModSecurity
كيف يعمل wafs?
يتضمن الجدار النارى على نظام blacklisting حيث يقوم بحجب بعض الرموز والحروف والعبارات التى تستخدم فى الإختراق
كما انه يوجد قواعد فلترة filter rules لكل جدار نارى والتى يتوقف عليها قوة وكفاءة الجدار النارى
فمثلا عندتجربة حقن قاعدة البيانات عن طريق ’or 1=1–
يفوم الفايرول بصد هذا الهجوم ومنعه
مثال اخر:عند تجربة ثغرة xss
عن طريق <script>alert(0)</script> يقوم الفايرول ايضا بصد هذا الهجوم
لأن كل هذه الأكواد موجودة فى القائمة السوداء للجدار النارى والتى يمنع تنفيذها على الفور
ما الية تخطى wafs?
الية تخطى الجدار النارى
الية تخطى الجدار النارى
 فى البداية نحاول استكشاف الحروف المسموح بها
وكانت النتيجة مثلا: الفايرول يمنع استخدام رقم 1 ولا يمنع استخدام رقم2
الكود القديم:’or 1=1–
نقوم بتشفير الكود لأن رقم 1 ممنوع استخدامه
‘ or 2=2– نجرب هذا الكود :يعمل بكفائة
اذا لم يعمل الكود المعدل نقوم بعمل تشفيرة جديدة ونجرب
‘/**/OR/**/ 2=2–
سنجد انها تعمل بنجاح
ما طرق تشفير الأكواد؟
التشفير بالجافا سكريبت فى حالة ثغرات xss
اما فى حالة ثغرات الحقن sql injections
نستخدم عدة تشفيرات اهمها التشفير بالهيكس و base64
يمكن تشفير الأكواد يدويا او باستخدام ادوات لسهولتها وسرعتها
مثل Hackvertor
انتظر تعليقاتكم واستفساراتكم
دمتم فى رعاية الله