Николай Зыляев
Трюк с чемоданом мусора: как хакеры обходят защиту сайтов с помощью... пробелов
Представьте сурового охранника на входе в клуб. Его работа простая: проверять всех, кто входит, и не пускать нежелательных гостей. В интернете эту роль берут на себя WAF-системы, то есть фаерволы для веб-приложений.
А теперь вопрос. Что будет, если злоумышленник придет не с ножом в кармане, а с огромным чемоданом, набитым мусором до отказа? И где-то на самом дне этого чемодана, под кучей фантиков и пустых коробок, лежит то самое оружие.
Большинство охранников с таким просто не справятся. Именно на этом и строится техника Padding Evasion. Звучит скучно, работает пугающе эффективно.
Как это устроено
Хакер берет вредоносный код, например, эксплойт под уязвимость React2Shell, и буквально закапывает его в гигантский объем цифрового мусора. Пустые строки, бесконечные пробелы, комментарии ни о чем. Запрос раздувается до неприличных размеров.
И вот тут у систем защиты начинаются проблемы. Дело в том, что большинство WAF проверяют только первые 128 килобайт данных. Больше не смотрят. Это не лень, это архитектурное решение: полный анализ каждого запроса убил бы производительность устройства. Но именно этим и пользуются злоумышленники.
Столкнувшись с таким запросом, охранник ведет себя одним из трех способов.
Первый, самый опасный: машет рукой и пропускает. Проверил первые килобайты мусора, ничего подозрительного не нашел, ну и ладно. Именно так по умолчанию ведут себя системы от Cloudflare, F5 и Fortinet, что показали независимые тесты. Хакер входит без единого вопроса.
Второй: паникует и блокирует вообще все. Видит запрос нестандартного размера и закрывает доступ на всякий случай. Атака не прошла, это хорошо. Но вместе с хакером под блокировку попали и обычные пользователи, которые просто хотели загрузить тяжелую фотографию. Для бизнеса это деньги на ветер.
Третий, и таких единицы: анализирует весь запрос целиком, находит угрозу на самом дне и пропускает нормальных людей без проблем.
Что с этим делать
Громкое имя вендора не гарантирует ничего. Красивые цифры в рекламных материалах тоже. Производители систем безопасности умеют красиво рассказывать о своих продуктах, но часто умалчивают, что в реальных условиях их решение или пропустит угрозу, или заблокирует половину легитимного трафика.
Единственный способ не купить кота в мешке — тестировать систему в условиях, приближенных к реальным. Не по документации вендора, а под живой нагрузкой.
Такое тестирование делаем, например, мы в РУТЕСТ. Наши специалисты используют инструменты, такие как IXIA CyPerf, которые воспроизводят настоящую сетевую и облачную нагрузку, и честно показывают: твой охранник реально работает или просто хорошо выглядит.
Подписывайтесь на наш канал в ТГ, где мы регулярно публикуем материалы про нагрузочное и функциональное тестирование ИТ/ИБ решений и инфраструктуры.
