Antes de entender se WAF é realmente seguro, Web Application Firewall, ou simplesmente WAF como é conhecido, é um software que trabalha entre o servidor HTTP/S e cliente, filtrando entradas do cliente e saídas do servidor WEB, seguindo sempre as regras de segurança. Graças a esse conjunto de regras, é possível detectar ataques e bloqueá-los. Mais Informações você pode encontrar em nosso blogpost:
Benefícios de ter WAF na aplicação
Uma WAF pode fornecer proteção crítica para qualquer empresa online que lide com dados privados de clientes com segurança. As empresas normalmente implementam uma WAF para proteger os seus aplicativos da web de ataques como:
- Ataques automatizados como Brute Force;
- Ataques de Negação de Serviço Distribuída (DDoS);
- Descoberta do IP Real da Aplicação;
- Injeção de comandos, como SQLi (SQL Injection) e XSS (Cross Site Script);
- Ataques de Execução de Comando, como RCE (Remote Code Execution), SSTI (Server Side Template Injection), PP (Prototype Pollution), SSRF (Server Side Request Forgery), Upload Arbitrário de Arquivos e entre outros.
Por que ter apenas uma WAF na aplicação não é suficiente?
Após ver todos os benefícios que uma WAF proporciona, agora veremos o motivo pelo qual ela não é suficiente contra qualquer ataque advindo de atacantes, e que, de todas as vantagens listadas, é possível burlar cada uma delas:
Ataques Automatizados e de Negação de Serviço
No entanto, durante um ataque de Brute Force, são enviadas diversas requisições para um determinado Endpoint. Caso a aplicação possua WAF, a Firewall pode bloquear o atacante.
Para esse tipo de Ataque, a WAF geralmente bloqueia somente um endereço de IP de origem, e é por esse motivo que é possível burlar a WAF, caso esse ataque seja distribuído, como, por exemplo, uma rotação de IP, não será possível o bloqueio.
Descoberta do IP Real da Aplicação
Uma das principais funções da WAF é esconder o real IP do Host da aplicação, para que um atacante não possa enumerar outros serviços, burlar as proteções da WAF e entre outros ataques direto no Host.
Entretanto, mesmo com WAF, ainda é possível descobrir o endereço do Host de diversas formas diferentes, como o armazenamento do histórico da Internet em diversos softwares próprios para isso, OSINT, vazamento de IP Interno/Real, SSRF, RCE, processo de reconhecimento e entre outros.
Ataques de Injeção e Execução de Comandos
A Utilização de WAF é uma excelente e indispensável adição nas camadas de segurança na aplicação, principalmente contra ataques de Injeção e Execução de Comandos como XSS e SQLI.
No entanto, é importante lembrar que é possível burlar essas medidas de segurança com diversas técnicas diferentes, que são constantemente aprimoradas a cada dia. Como podemos ver na imagem abaixo, são frequentemente publicadas CVEs de diferentes serviços de WAFs, demonstrando a necessidade de estar sempre atualizado e atento às vulnerabilidades.
Para finalizar, considerando os pontos mencionados, a utilização de WAF é apenas uma das camadas de segurança da aplicação, cujo objetivo é dificultar ataques cibernéticos. Portanto, é importante ressaltar que não é suficiente contar apenas com a WAF e é necessário manter a aplicação protegida contra possíveis vulnerabilidades.
