HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN Học phần: An tồn mạng Bài báo cáo: Tìm hiểu cơng cụ WAFW00F Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực hiện: Đặng Đức Ngun Mã sinh viên: B18DCAT173 Nhóm mơn học: 02 Hà Nội – 2021 Mục lục Mở đầu Chương Khái quát Web Application FireWall Web Application Firewall gì? 2 Cách thức hoạt động 3 Phân biệt WAF tường lửa 4 Tầm quan trọng tường lửa ứng dụng web Các loại tường lửa ứng dụng Web Cách xác định WAF ứng dụng Web Chương Tìm hiểu cơng cụ WAFW00F Giới thiệu Lịch sử phát triển 14 Khả tương thích 17 Cài đặt công cụ WAFW00F 17 Cách sử dụng 18 Chương Bài LAB 20 Bài 1: Sử dụng công cụ WAFW00F kiểm tra website sử dụng WAF nào? 20 Bài 2: Sử dụng proxy định tuyến yêu cầu để xác định WAF 23 Chương Đánh giá so sánh 26 Đánh giá 26 So sánh 26 Kết luận 28 Tài liệu tham khảo 29 Danh sách thuật ngữ tiếng Anh viết tắt Từ viết tắt DNS HTTP IP Thuật ngữ tiếng Anh/Giải thích Thuật ngữ tiếng Việt/Giải thích Domain Name System Hypertext Transfer Protocol Internet Protocol Hệ thống phân giải tên miền Giao thức truyền tải siêu văn Giao thức Internet Hệ thống ngăn ngừa xâm nhập mạng Hệ thống phát xâm nhập IPS Intrusion Prevention Systems IDS Intrusion Detection Systems Payment Card Industry Data Security Standard Uniform Resource Locator Web Application Firewall PCI DSS URl WAF An ninh thông tin tiêu chuẩn Địa web Tường lửa ứng dụng Web Danh mục hình ảnh Hình 1 Mơ hình hệ thống Tường lửa ứng dụng Web Hình Mơ hình hoạt động WAF Hình Xác định WAF qua giá trị cookie Hình Xác định WAF qua giá trị regex cookie Hình Xác định WAF thông qua HTTP Respone Code Hình HTTP Response Code WebKnight Firewall Hình Cài đặt WAFW00F Kali Linux 18 Hình 2 Cách sử dụng WAFW00F 18 Hình Kiểm tra WAF URL 20 Hình Kiểm tra WAF cụ thể 21 Hình 3 Kiểm tra chi tiết WAF phù hợp 21 Hình Kiểm tra WAF nhiều URL 22 Hình Cài đặt TOR 23 Hình Cài đặt proxychains 23 Hình Config proxychains 24 Hình Thêm socks5 vào file config 24 Hình Dùng proxy xác định WAF 25 Hình Cơng cụ WhatWaf 26 Hình Cơng cụ identYwaf 27 Danh mục bảng biểu Bảng Danh sách WAF hỗ trợ Bảng Danh sách lựa chọn 19 Mở đầu Tường lửa ứng dụng web biện pháp kiểm soát bảo mật phổ biến doanh nghiệp sử dụng để bảo vệ hệ thống web chống lại việc khai thác zero-day, nhiễm phần mềm độc hại, mạo danh mối đe dọa lỗ hổng bảo mật biết chưa biết khác Thơng qua kiểm tra tùy chỉnh, WAF phát ngăn chặn số lỗi bảo mật ứng dụng web nguy hiểm mà tường lửa mạng truyền thống hệ thống phát xâm nhập khác (IDSes) hệ thống ngăn chặn xâm nhập (IPSes) khơng thực WAF đặc biệt hữu ích cho cơng ty cung cấp sản phẩm dịch vụ qua Internet mua sắm thương mại điện tử, ngân hàng trực tuyến tương tác khác khách hàng đối tác kinh doanh Để công ứng dụng web, việc thăm dị xem ứng dụng web sử dụng loại WAF quan trọng Từ hacker hay tester vạch hướng xâm nhập vào hệ thống cách rõ ràng Và công cụ hiệu hữu ích WAFW00F giới thiệu báo cáo Chương Khái quát Web Application FireWall Web Application Firewall gì? WAF (Web Application Firewall) cịn gọi tường lửa ứng dụng web WAF thiết bị proxy xử lý giao thức HTTP nhằm bảo vệ ứng dụng web WAF kiểm tra lượng truy cập lọc yêu cầu có mối đe dọa xâm hại đến website trước đến ứng dụng web Hình 1 Mơ hình hệ thống Tường lửa ứng dụng Web Một WAF có khả thực thi sách bảo mật dựa dấu hiệu công, giao thức tiêu chuẩn lưu lượng truy cập ứng dụng web bất thường, chống lại việc khai thác zero-day, nhiễm phần mềm độc hại, mạo danh mối đe dọa lỗ hổng bảo mật biết chưa biết khác Thơng qua kiểm tra tùy chỉnh, WAF phát ngăn chặn số lỗi bảo mật ứng dụng web nguy hiểm mà tường lửa mạng truyền thống hệ thống phát xâm nhập khác (IDSes) hệ thống ngăn chặn xâm nhập (IPSes) khơng thực 2 Cách thức hoạt động WAF phân tích yêu cầu Hypertext Transfer Protocol (HTTP) áp dụng quy tắc xác định phần hội thoại lành tính phần độc hại Các phần hội thoại HTTP mà WAF phân tích yêu cầu GET POST Yêu cầu GET sử dụng để truy xuất liệu từ máy chủ yêu cầu POST sử dụng để gửi liệu đến máy chủ để thay đổi trạng thái Hình Mơ hình hoạt động WAF WAF thực hai cách tiếp cận để phân tích lọc nội dung có yêu cầu HTTP kết hợp hai: • Whitelisting (danh sách trắng): Cách tiếp cận danh sách trắng có nghĩa WAF từ chối tất yêu cầu theo mặc định cho phép yêu cầu biết đáng tin cậy Nó cung cấp danh sách địa IP biết an tồn Danh sách trắng tốn tài ngun so với danh sách đen Nhược điểm cách tiếp cận danh sách trắng vơ tình chặn lưu lượng truy cập lành tính Mặc dù tạo mạng lưới rộng hiệu quả, khơng xác • Blacklisting (danh sách đen): Phương pháp tiếp cận danh sách đen mặc định cho phép gói tin qua sử dụng chữ ký đặt trước để chặn lưu lượng web độc hại bảo vệ lỗ hổng trang web ứng dụng web Nó danh sách quy tắc gói độc hại Danh sách đen thích hợp cho trang web ứng dụng web công cộng chúng nhận nhiều lưu lượng truy cập từ địa IP không quen thuộc mà độc hại lành tính Nhược điểm cách tiếp cận danh sách đen tốn nhiều tài ngun hơn; u cầu nhiều thơng tin để lọc gói dựa đặc điểm cụ thể, trái ngược với việc mặc định địa IP đáng tin cậy • Hybrid security (Kết hợp): Mơ hình bảo mật kết hợp sử dụng yếu tố danh sách đen danh sách trắng Bất kể mơ hình bảo mật mà WAF sử dụng gì, cuối hoạt động để phân tích tương tác HTTP giảm lý tưởng loại bỏ lưu lượng độc hại trước đến máy chủ để xử lý Phân biệt WAF tường lửa Tường lửa thuật ngữ rộng cho firmware bảo vệ mạng máy tính cách lọc gói liệu đến Trong định nghĩa rộng đó, có số danh mục phân biệt theo loại bảo vệ mà chúng cung cấp cách thức chúng cung cấp Một số định bao gồm lọc gói, kiểm tra trạng thái, proxy NGFW WAF loại tường lửa khác, phân biệt cách lọc gói liệu cụ thể WAF tập trung vào kẻ cơng dựa web lớp ứng dụng, loại khác – chẳng hạn lọc gói kiểm tra trạng thái – khơng thể chống lại công WAF giống tường lửa proxy tập trung cụ thể vào logic ứng dụng Lớp Tầm quan trọng tường lửa ứng dụng web WAF quan trọng số lượng ngày tăng doanh nghiệp cung cấp sản phẩm qua internet – bao gồm ngân hàng trực tuyến, nhà cung cấp tảng truyền thông xã hội nhà phát triển ứng dụng di động – giúp ngăn chặn rò rỉ liệu Nhiều liệu nhạy cảm, chẳng hạn liệu thẻ tín dụng hồ sơ khách hàng, lưu trữ sở liệu back-end truy cập thơng qua ứng dụng web Những kẻ công thường nhắm mục tiêu vào ứng dụng để giành quyền truy cập vào liệu liên quan Ví dụ: ngân hàng sử dụng WAF để giúp họ đáp ứng Tiêu chuẩn bảo mật liệu ngành thẻ tốn (PCI DSS), sách để đảm bảo liệu chủ thẻ (CHD) bảo vệ Cài đặt tường lửa 12 yêu cầu tuân thủ PCI DSS Việc tuân thủ áp dụng cho doanh nghiệp xử lý CHD Vì nhiều cơng ty sử dụng ứng dụng di động Internet vạn vật (IoT) ngày phát triển, ngày có nhiều giao dịch diễn lớp ứng dụng cách sử dụng web Vì lý này, WAF phần quan trọng mơ hình bảo mật doanh nghiệp đại WAF quan trọng, hiệu kết hợp với thành phần bảo mật khác, bao gồm IPS, IDS tường lửa cổ điển hệ (NGFW) Một mơ hình bảo mật doanh nghiệp toàn diện lý tưởng đặt WAF bên cạnh loại tường lửa khác, chẳng hạn NGFW thành phần bảo mật, chẳng hạn IPS IDS, thường bao gồm NGFW Các loại tường lửa ứng dụng Web - - - Network-based WAFs (WAF dựa mạng): Thường dựa phần cứng giảm độ trễ chúng cài đặt cục sở thông qua thiết bị chuyên dụng, gần ứng dụng tốt Hầu hết nhà cung cấp WAF dựa mạng lớn cho phép chép quy tắc cài đặt nhiều thiết bị, triển khai, cấu hình quản lý quy mơ lớn Hạn chế lớn loại sản phẩm WAF chi phí – có chi phí vốn trả trước, chi phí vận hành liên tục để bảo trì Host-based WAFs (WAF dựa máy chủ): Có thể tích hợp hồn tồn vào mã ứng dụng Các lợi ích việc triển khai WAF dựa máy chủ bao gồm chi phí thấp tùy chọn tùy chỉnh tăng lên WAF dựa máy chủ thách thức để quản lý chúng yêu cầu thư viện ứng dụng phụ thuộc vào tài nguyên máy chủ cục để chạy hiệu Do đó, cần thêm nguồn nhân viên, bao gồm nguồn lực lập trình viên, nhà phân tích hệ thống DevOps/DevSecOps, yêu cầu Cloud-hosted WAFs (WAF lưu trữ đám mây): Cung cấp giải pháp chi phí thấp cho tổ chức muốn có sản phẩm chìa khóa trao tay yêu cầu tài nguyên tối thiểu để triển khai quản lý Cloud WAF dễ triển khai, có sẵn sở đăng ký thường yêu cầu hệ thống tên miền (DNS) đơn giản thay đổi proxy để chuyển hướng lưu lượng ứng dụng Mặc dù khó khăn đặt trách nhiệm lọc lưu lượng ứng dụng web tổ chức với nhà cung cấp bên thứ ba, chiến lược cho phép ứng dụng bảo vệ nhiều vị trí lưu trữ sử dụng sách tương tự để bảo vệ khỏi công lớp ứng dụng Ngồi ra, bên thứ ba có thơng tin tình báo mối đe dọa giúp xác định chặn mối đe dọa bảo mật ứng dụng Cách xác định WAF ứng dụng Web Trong trình thử nghiệm xâm nhập, việc thu thập nhiều thông tin hệ thống mục tiêu giúp ta có nhiều phương án việc thực thi công Và việc xác định WAF ngoại lệ Có thơng tin WAF rên khai ứng dụng wev giúp tiết kiệm thời gian q trình thử nghiệm thâm nhập Với thơng tin có hệ thống WAF, ta tìm hiểu cách thức nguyên tắc hoạt động thay phải thử nghiệm nhiều lần Sau vài cách để xác định loại WAF ứng dụng web: • Giá trị cookie: Một vài WAF thêm vào cookie giá trị định Citrix Netscalar: Có giá trị cookie HTTP Response ns_af, citrix_ns_id Hình Xác định WAF qua giá trị cookie F5 Big IP ASM: Có giá trị cookie HTTP Response bắt đầu ký tự TS theo sau chuỗi ký tự ngẫu nhiên tuân thủ theo regular expression ^TS[azA-Z0-9]{3,6} Hình Xác định WAF qua giá trị regex cookie o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o Anquanbao ChinaCache-CDN Incapsula WAF PowerCDN CloudFlare NSFocus Safedog West263CDN 360WangZhanBao Mission Control Application Shield USP Secure Entry Server Cisco ACE XML Gateway Barracuda Application Firewall Art of Defence HyperGuard BinarySec Teros WAF F5 BIG-IP LTM F5 BIG-IP APM F5 BIG-IP ASM F5 FirePass F5 Trafficshield InfoGuard Airlock Citrix NetScaler Trustwave ModSecurity IBM Web Application Security IBM DataPower DenyALL WAF Applicure dotDefender Juniper WebApp Secure Microsoft URLScan Aqtronix WebKnight eEye Digital Security SecureIIS Imperva SecureSphere Microsoft ISA Server • Dọn dẹp mã, tái cấu trúc, tối ưu hóa, v.v bao gồm phát hành v0.9.5 phát hành vào ngày 14 tháng năm 2018 tăng số WAF nhận diện lên 47 fix số lỗi cài đặt v0.9.6 phát hành vào ngày 20 tháng năm 2019 tăng số WAF lên 50: 15 • Nhận diện thêm AWS LB/WAF • Nhận diện thêm DOSarrest • Thêm XLabs Security WAF • Sửa số văn • pylinting v1.0.0 phát hành vào ngày 01 tháng năm 2019 bổ sung: • Số lượng WAF phát tăng lên 112 nhờ @ 0xInfect • Nhiều plugin WAF có nhiều phương pháp phát • Đã khắc phục số cố báo cáo lỗi xác định q trình thử nghiệm phân tích • Cải tiến chung phương pháp cơng • Đã xóa số check cũ khơng xác • Ký tự ASCII với màu ANSI tuyệt vời v2.0.0 phát hành vào ngày 13 tháng 12 năm 2019 bổ sung: • Tồn sở hạ tầng mã WAFW00F tái cấu trúc viết lại engine • WAFW00F phát 150 WAF (cơ sở liệu phát lớn nay) • Mỗi plugin WAF có nhiều phương pháp để fingerprint phát • Cải tiến mơ-đun phát WAF chung • Những thay đổi cải tiến lớn fingerprint có v2.1.0 phát hành vào ngày 29 tháng năm 2020 bổ sung: • Nhập từ tệp JSON, CSV TXT để định URL quét cách sử dụng cờ -i • Xuất tệp JSON, CSV, TXT cách sử dụng cờ -o • Đầu rõ ràng tiêu chuẩn chuyển -o -dưới dạng cờ đến wafw00f • Bao gồm phát WAF 16 Khả tương thích Phiên Python: WAFW00F hồn tồn tương thích với hai phiên Python 2.x 3.x Tuy nhiên, hỗ trợ cho phiên Python 2.x sớm bị loại bỏ phiên kết thúc WAFW00F hoàn tồn tương thích / ổn định với phiên Python 3.x (tốt là> = 3.4) Hệ điều hành: WAFW00F thử nghiệm phân phối Linux (Arch, Debian, Ubuntu), Windows Mac hoạt động mong đợi Màu sắc: Art ASCII đẹp có màu Trên hệ thống dựa Linux (và Hệ thống Linux dành cho Windows), ta tìm thấy đầu có màu Tuy nhiên, Mac & Windows khơng hỗ trợ trình tự ANSI nên đầu khơng có màu Mac & Windows Tuy nhiên, ta sử dụng WAFW00F cách hoàn hảo chúng Các thư viện: WAFW00F cần số thư viện để chạy hiệu Ngoài thư viện tích hợp sẵn, số yêu cầu cài đặt thông qua pip Sau phụ thuộc mà cơng cụ WAFW00F u cầu: • requests - Để thực truy vấn HTTP • pluginbase - Một trình phân tích cú pháp plugin cho dự án dựa python Phần lại thư viện Python WAFW00F sử dụng thư viện tiêu chuẩn cài đặt sẵn với trình thơng dịch Python 3.x Cài đặt công cụ WAFW00F Trên Kali Linux: Chương trình cài đặt sẵn Kali Linux Để cài đặt dựng tối thiểu, sử dụng lệnh: sudo apt install wafw00f 17 Hình Cài đặt WAFW00F Kali Linux Trên Debian, Linux Mint, Ubuntu: sudo apt update sudo apt install git python3-pip git clone https://github.com/EnableSecurity/wafw00f cd wafw00f sudo python3 setup.py install Trên BlackArch: Chương trình cài đặt sẵn BlackArch Để cài đặt dựng tối thiểu, sử dụng lệnh: sudo pacman -S wafw00f Cách sử dụng Hình 2 Cách sử dụng WAFW00F 18 Để sử dụng WAFW00F, ta sử dụng lệnh sau: wafw00f [OPTIONS] URL1 [URL2 [URL3 ]] Trong đó: - [OPTIONS] tùy chọn - URL đường dẫn tới trang Web thực thi Bảng Danh sách lựa chọn Tùy chọn -h, help -v, verbose -a, findall -r, noredirect -t TEST, test=TEST -o OUTPUT, output=OUTPUT -f FORMAT, format=FORMAT -i INPUT, input-file=INPUT -l, list -p PROXY, proxy=PROXY -V, version -H HEADERS, -headers=HEADERS Mô tả Hiển thị thông báo trợ giúp Bật tính chi tiết, tùy chọn nhiều -v làm tăng độ chi tiết Tìm tất WAF phù hợp với chữ ký, không ngừng thử nghiệm chữ ký Không tuân theo chuyển hướng đưa phản hồi 3xx Kiểm tra WAF cụ thể Ghi đầu vào tệp csv, json tệp văn tùy thuộc vào phần mở rộng tệp Đối với stdout, định - làm tên tệp Buộc định dạng đầu thành csv, json văn Đọc mục tiêu từ tệp Định dạng đầu vào csv, json văn Đối với csv json, tên cột phần tử `url` bắt buộc Liệt kê tất WAF mà WAFW00F phát Sử dụng proxy HTTP để thực yêu cầu, ví dụ: http://hostname:8080,socks5://hostname:1080, http://user:pass@hostname:8080 In phiên WafW00f thoát Chuyển tiêu đề tùy chỉnh qua tệp văn để ghi đè tiêu đề mặc định 19 Chương Bài LAB Bài 1: Sử dụng công cụ WAFW00F kiểm tra website sử dụng WAF nào? - Kiểm tra URL: Phát WAF website wise.com Sử dụng câu lệnh: wafw00f wise.com Hình Kiểm tra WAF URL Ta thấy website bảo vệ WAF Cloudflare Cloudflare Inc Số lượng requests - Kiểm tra WAF cụ thể: Thử kiểm tra trang web https://www.equifaxsecurity2017.com/ có bảo vệ Edgecast Verizon Digital Media hay không Sử dụng câu lệnh: https://www.equifaxsecurity2017.com/ -t 'Edgecast (Verizon Digital Media)' 20 Hình Kiểm tra WAF cụ thể Ta thấy trang web khơng sử dụng WAF Edgecast Verizon Digital Media - Kiểm tra chi tiết WAF phù hợp: Sử dụng câu lệnh: wafw00f https://pente.vn/ -v -a Hình 3 Kiểm tra chi tiết WAF phù hợp 21 Ta thấy website sử dụng WAF Cloudflare Cloudflare Inc 130 WAF không phù hợp Số request - Kiểm tra nhiều URL: Kiểm tra WAF trang web pente.vn hakin9.org Sử dụng câu lệnh sau: wafw00f https://pente.vn/ https://hakin9.org/ Hình Kiểm tra WAF nhiều URL Ta thấy trang web bảo vệ WAF Cloudflare Cloudflare Inc Số lượng requests 22 Bài 2: Sử dụng proxy để xác định WAF Cài TOR lệnh: sudo apt install tor Hình Cài đặt TOR Cài đặt proxychains câu lệnh: sudo apt install proxychains Hình Cài đặt proxychains 23 Mở file config lệnh : sudo nano /etc/proxychains.conf - Bỏ comment dòng dynamic_chain comment dịng strict_chain Hình Config proxychains - Thêm dịng socks5 127.0.0.1 9050 sau lưu file config lại Hình Thêm socks5 vào file config 24 Khởi chạy TOR quét trang web - Khởi chạy TOR câu lệnh: sudo service tor start - Để sử dụng proxy ta sử dụng tùy chọn -p, câu lệnh thực thi sau: wafw00f -p socks5://127.0.0.1:9050 admitad.com Hình Dùng proxy xác định WAF Như ta xác định WAF Cloudflare cuẩ Cloudflare Inc Số request 25 Chương Đánh giá so sánh Đánh giá - Xác định hầu hết WAF có - Đơn giản, nhanh, dễ dùng có tính hiệu cao - Thường sử dụng để thu thập thông tin, kiểm tra xâm nhập, thăm dò đánh giá bảo mật - Ngoài xác định giá trị cookie http response, cơng cụ cịn sử dụng vài kỹ thuật khác để xác định WAF Drop (Sử dụng gói tin FIN RST tìm kếm câu trả lời nhận được), Sever cloaking (thay đổi URL phương pháp khác HTTP respond re-writing), Pre-Built Rules - Nhược điểm: Chưa đưa giải pháp bypass qua WAF So sánh Whatwaf: • • • • Whatwaf công cụ rà quét tường lửa ứng dụng web nâng cao Nó dễ dùng, dễ dàng cài đặt có tính hiệu cao Phổ biến nhiều người sử dụng Có thể đưa giải pháp vượt qua WAF Hình Cơng cụ WhatWaf 26 identYwaf: • Được sử dụng để nhận dạnh WAF, kiểm thử ứng dụng kiểm thử phần mềm • Hoạt động dựa phép thử suy luận ngẫu nhiên từ tập hợp payload xác định trước • Hỗ trợ 80 WAF khác • Wafpass hoạt động Linux, BlackArch Hình Công cụ identYwaf 27 Kết luận Bài báo cáo trình bày khái niệm tổng quát Web Application Firewall, cách thức Web Application Firewall hoạt động, loại Web Application Firewall tầm quan trọng Hiểu cách để xác định website sử dụng Web Application Firewall Cùng với báo có tìm hiểu phân tích kỹ công cụ WAFW00F, cách dùng WAFW00F để nhận dạnh ứng dụng web bảo vệ Web Application Firewall so sánh với cơng cụ khác 28 Tài liệu tham khảo [1] KaliTools, "Penetration Testing Tools," 2021 [Online] Available: https://en.kali.tools/?p=1613 [2] Viettel, "Tường lửa ứng dụng Web," 2021 [Online] Available: https://viettelidc.com.vn/tin-tuc/tim-hieu-ve-tuong-lua-ung-dung-web-waf-webapplication-firewall [3] Vietsunshine, "Tường lửa ứng dụng web (WAF) gì?," 2020 [Online] Available: https://www.vietsunshine.com.vn/2020/09/14/waf/ [4] Wiki, "Web application firewall," 2021 [Online] Available: https://en.wikipedia.org/wiki/Web_application_firewall [5] S Gauci, "WAFW00F," 2020 [Online] Available: https://github.com/EnableSecurity/wafw00f 29 ... Whitelisting (danh sách trắng): Cách tiếp cận danh sách trắng có nghĩa WAF từ chối tất yêu cầu theo mặc định cho phép yêu cầu biết đáng tin cậy Nó cung cấp danh sách địa IP biết an toàn Danh sách trắng... Danh sách WAF hỗ trợ Tên WAF Nhà cung cấp ACE XML Gateway Cisco aeSecure aeSecure AireeCDN Airee Airlock Phion/Ergon Alert Logic Alert Logic AliYunDun Alibaba Cloud Computing Anquanbao Anquanbao... WebKnight AQTRONIX WebLand WebLand RayWAF WebRay Solutions WebSEAL IBM WebTotem WebTotem West263 CDN West263CDN Wordfence Defiant 13 WP Cerber Security Cerber Tech WTS-WAF WTS 360WangZhanBao 360 Technologies