B
Тогда реагировать на каждую ссылку, смотреть каждую, а ведь еще можно установить TTL околонулевой и одни увидят один сайт (в тч ваф), а другие - другой
Size: a a a
2020 May 15
h
так и не дошли руки гогс покрутить...
B
Клоакинг и вот это все
VP
а как WAF поймет, что если я попрошу выкачать аватарку с http://internal.back-admin.mail.yandex.net/api/v1/user/31337/delete?pic.jpg
это это ссрф?
это это ссрф?
internal.back-admin резолвится на внутр адрес, и в данном сценарии ваф его заблочит
B
то узнаешь IP бекенда и, возможно, либу, которую они используют чтобы делать запросы (зачастую python-request), а либа может быть уязвимой версии и тогда можно даже провернуть RCE, подсунув праивльный пейлоад🥴
Мы обсуждаем должен ли waf защитить от ssrf
КР
я не собираюсь идти на 10.10.х.0
я хочу пойти на http://internal.back-admin.mail.yandex.net/api/v1/user/31337/delete?pic.jpg
У которой будет вполне себе норм внешний айпишник, но закрытый FW для внешки, но разрешен для бекендов
я хочу пойти на http://internal.back-admin.mail.yandex.net/api/v1/user/31337/delete?pic.jpg
У которой будет вполне себе норм внешний айпишник, но закрытый FW для внешки, но разрешен для бекендов
и оно по GET выполнится?
I
а если на внешний?
VP
а если на внешний?
я про такое тоже думал. Ответ такой что зависит от настроек вафа.
I
короче это какая-то хреновая задача для WAF
I
он не знает и не должен знать про внутреннюю кухню
I
типа на уровне nginx запретить обращаться к уязвимой SSRF апишке?)
VP
короче это какая-то хреновая задача для WAF
тут думаю вопрос реализации. Могу только повторить, что одна из крупнейших компаний, веризон, его использует именно для этого
I
наверное поэтому они породили 8 или сколько там h1 миллионеров)
B
))
VP
наверное поэтому они породили 8 или сколько там h1 миллионеров)
отчасти да (ну еще и потому что огромный скоуп, та же AT&T тоже думаю еще породит миллионеров). Давгигг писал, нашел новый байпасс, пошел и заново сдал все старые репорты, получил 180 к
P
Спасибо
P
Я тоже склоняюсь к тому что не должен, просто там раздули пару новостей еще и с судебным иском к амазону что якобы их ваф не заметил ссрф... я хотел объяснить что это не задача вафа, а потому подумал дай как я спрошу у кого то еще может я не прав
VP
Я тоже склоняюсь к тому что не должен, просто там раздули пару новостей еще и с судебным иском к амазону что якобы их ваф не заметил ссрф... я хотел объяснить что это не задача вафа, а потому подумал дай как я спрошу у кого то еще может я не прав
https://www.google.com/search?q=amazon+waf+ssrf&source=lnt&tbs=qdr:y&sa=X&ved=2ahUKEwjj9cWSj7bpAhXL4KYKHdg-D1MQpwV6BAgNEB0&biw=1440&bih=743
интересно, пришли ссылку, а то не гуглится ничего
интересно, пришли ссылку, а то не гуглится ничего
P
ДА это старое, просто обсуждали кейс с продажниками.