Los WAF (firewalls de aplicaciones web) se encargarían de proteger contra los ataques basados en la web, incluidos los de inyección SQL y los de secuencias de comandos (también llamados scripting entre sitios o XSS).
Sin embargo, los firewalls de aplicaciones web no resultan para nada infalibles. Una investigación ha encontrado que algunos de los más importantes del mercado presentan ciertas vulnerabilidades.
En concreto, los investigadores de la consultora de seguridad Kloudle han hallado que podían eludir los firewalls de webapps de Google Cloud Platform y Amazon Web Services simplemente realizando una solicitud POST que supere más de 8 KB de tamaño.
“El comportamiento predeterminado de Cloud Armor en este caso puede permitir que las solicitudes maliciosas pasen por alto Cloud Armor y lleguen directamente a una aplicación subyacente”, señalan desde Kloudle.
El problema se puede atajar cambiando la configuración
Cuando se desean enviar ciertos tipos de información a un servidor el protocolo HTTP cuenta con distintas fórmulas de petición. Una de las más importantes, junto a GET, es POST.
En el método POST los datos no quedarían visibles para el usuario, no mostrándose en la caché ni en el historial de navegación. Los parámetros son introducidos en la solicitud HTTP para el servidor. Su flexibilidad permite que además de textos se puedan enviar datos de otro tipo, como fotografías o vídeos. Y puede que aquí resida una de sus debilidades.
“Este problema se puede explotar creando una solicitud HTTP POST con un tamaño de cuerpo que exceda el límite de tamaño de 8 KB de Cloud Armor, donde la carga útil aparece después del byte/carácter 8192 en el cuerpo de la solicitud”, explica Kloudle en una publicación técnica en su blog.
Afortunadamente, hay remedio. Los usuarios tienen la opción de parar el vector de ataque potencial configurando una regla personalizada de Cloud Armor para bloquear las solicitudes HTTP cuando el cuerpo de esta exceda los 8192 bytes.