Пару недель назад обновилась до версии 1 достаточно интересная утилита wafw00f . Она позволяет определить каким межсетевым экраном уровня приложения (web application firewall или WAF) защищен web сайт. Поддерживается 112 WAF.
Принцип работы достаточно простой, работает быстро:
· Отправляем нормальный http запрос
· Отправляем несколько заведомо подозрительных http запросов, которые WAF (если присутствует) обязан заблокировать
· По реакции (код ошибки, заголовки, изменение версии web сервера) web сервера / WAF пытаемся определить какое средство защиты используется.
Необходимость применения WAF для защиты важных web ресурсов уже давно осознаны , в БДУ ФСТЭК России есть много угроз для web, справится с которыми поможет только WAF, в системе сертификации есть отдельный класс МЭ уровня приложений и даже 3 сертифицированных решения типа Г.
Было интересно посмотреть какая сейчас статистика использования WAF для защиты российских ресурсов. Для TOP 450 сайтов по версии Яндекса получилась следующая картинка.
Применение WAF в РФ | Количество | % |
Не используют WAF | 391 | 86,89% |
Используют неизвестный WAF или межсетевой экран / IPS с функцией защиты web | 37 | 8,22% |
Cloudflare WAF | 21 | 4,67% |
CacheWall WAF | 1 | 0,22% |
Выводы. Более 85% ресурсов не защищены WAF. Показатель плачевный.
Около 8 процентов используют средства защиты, которое не удалось утилита не смогла определить (возможно PT AF или Континент WAF), что в общем то хорошо, так как злоумышленникам сложнее обойти средства защиты, о которых ничего не известно.