Перейти к содержанию

Обнаружение уязвимостей

Что такое уязвимость?

Уязвимость — ошибка, допущенная при проектировании, разработке или внедрении вашего веб‑приложения, которая может привести к реализации риска информационной безопасности. К таким рискам относятся:

  • Несанкционированный доступ к данным, например: чтение или модификация данных пользователей

  • Отказ в обслуживании

  • Нарушение целостности данных и другие

Методы обнаружения уязвимостей

Для поиска уязвимостей Валарм WAF отправляет на адрес защищаемого приложения запросы с атаками и анализирует ответы на запросы. Если в ответе на запрос есть признаки уязвимости, Валарм WAF записывает открытую уязвимость.

Например: если ответ на запрос на чтение файла /etc/passwd включает содержимое /etc/passwd, защищаемое приложение считается уязвимым для атак типа Path Traversal и Валарм WAF записывает соответствующую уязвимость в приложении.

Валарм WAF использует следующие методы для отправки на адреса защищаемых приложений запросов с атаками:

  • Пассивное детектирование: уязвимость обнаруживается в ходе реальной атаки

  • Перепроверка атак: модуль Активной проверки атак автоматически воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и ищет уязвимости в соответствующих частях приложения

  • Сканер уязвимостей: все элементы сетевого периметра проверяются на наличие типовых уязвимостей

Пассивное детектирование

При пассивном детектировании уязвимость обнаруживается в ходе реальной атаки. Если в ходе атаки удалось проэксплуатировать уязвимость приложения, система Валарм WAF записывает инцидент безопасности и проэксплуатированную уязвимость.

Пассивное детектирование уязвимостей работает по умолчанию.

Перепроверка атак

Как работает

При перепроверке атак, модуль Активной проверки атак обнаруживает открытые уязвимости приложения, которые могут быть проэксплуатированы в ходе атаки. Для этого модуль автоматически воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и ищет уязвимости в соответствующих частях приложения. При этом:

  • Из оригинального запроса с атакой удаляются данные авторизации (cookies, basic-auth, viewstate)

  • В запросе передаются векторы атаки, возможные в рамках обнаруженного типа атаки

Список уязвимостей, которые может обнаружить модуль

Настройка

  • Включение / отключение модуля выполняется в Консоли управления Валарм → секция Сканер. По умолчанию модуль включен.

  • Если WAF‑нода работает в режиме block, необходимо отключить блокировку IP‑адресов, с которых отправляются запросы.

  • Чтобы отправлять запросы, для которых требуется прохождение аутентификации, необходимо настроить соответствующее правило в профиле приложения.

  • Чтобы выполнять перепроверку атак на отдельном инстансе приложения (тестовая среда или стейджинг), необходимо настроить соответствующее правило в профиле приложения.

Сканер уязвимостей

Как работает

Сканер уязвимостей выполняет проверку всех элементов сетевого периметра на наличие типовых уязвимостей. Для этого сканер отправляет запросы на адреса приложений с фиксированного списка IP‑адресов и с заголовком X-Wallarm-Scanner-Info.

Настройка

Ложные срабатывания

Ложное срабатывание — обнаружение признаков атаки в легитимном запросе или определение легитимной сущности как уязвимости (подробнее о ложных срабатываниях на атаки →).

Ложные срабатывания на уязвимости происходят из‑за особенностей защищаемых приложений. Один ответ на запрос может указывать на открытую уязвимость в одном защищаемом приложении и быть ожидаемым поведением в другом защищаемом приложении.

При обнаружении ложного срабатывания на уязвимость, вы можете самостоятельно добавить к уязвимости соответствующую отметку в Консоли управления Валарм. Уязвимость, отмеченная как ложное срабатывание, будет переведена в соответствующий статус и не будет перепроверяться. Подробнее об управлении ложными срабатываниями через Консоль управления Валарм →

Если обнаруженная уязвимость действительно существует в защищаемом приложении, но не может быть исправлена, рекомендуем настроить правило Применить виртуальный патч. Правило позволит блокировать атаки, направленные на обнаруженный тип уязвимости, и исключит риск инцидента.

Управление обнаруженными уязвимостями

Все обнаруженные уязвимости отображаются в Консоли управления Валарм → секция Уязвимости. Вы можете управлять уязвимостями через интерфейс следующим образом:

  • Просматривать и анализировать уязвимости

  • Запускать перепроверку статуса уязвимости: открыта или исправлена на стороне приложения

  • Самостоятельно закрывать уязвимости или отмечать их как ложное срабатывание

Более подробная информация об управлении уязвимостями приведена в инструкции по работе с уязвимостиями.

Секция уязвимостей