WAF tizimlarini aylanib o‘tuvchi JavaScript in’yeksiyasi orqali XSS hujumlari

Veb-ilovalar xavfsizligini ta’minlashda asosiy himoya vositalaridan biri hisoblangan WAF (Web Application Firewall) tizimlari ustidan yangi, xavfli hujum usuli aniqlandi. Tadqiqotchi Bruno Mendes tomonidan o‘tkazilgan chuqur tahlillarda, HTTP Parameter Pollution (parametr aralashtirish) texnikasi yordamida JavaScript in’yeksiyasi orqali XSS (Cross-Site Scripting) hujumlari amalga oshirilgan va bu usullar dunyoning yetakchi 17 ta WAF konfiguratsiyalarini osongina chetlab o‘tgan.

Zaiflik qanday ishlaydi?

ASP.NET platformasining noyob xususiyatlaridan biri — bir xil nomdagi bir nechta HTTP parametrlarni bitta qiymatga vergul orqali birlashtirishidir. Masalan, quyidagi so‘rov:

/?q=1’&q=alert(1)&q=’2

ASP.NET tomonidan:

1',alert(1),'2

ko‘rinishida qayta ishlanadi.

Bu qiymat JavaScript kodida quyidagicha yozilsa:

userInput = '1', alert(1), '2';

JavaScript’da vergul operatori har bir ifodani alohida bajaradi. Natijada, alert(1) funksiyasi muvaffaqiyatli ishga tushadi — ya’ni XSS hujumi amalga oshadi. Eng ajablanarlisi, bunday kod ko‘p hollarda WAF tomonidan aniqlanmaydi, chunki WAF odatda har bir parametrni alohida ko‘rib chiqadi, ASP.NET esa ularni birlashtirib tahlil qiladi.

Mendes tomonidan sinovdan o‘tkazilgan 17 ta mashhur WAF konfiguratsiyasidan atigi 3 tasi ushbu hujumlarni to‘liq blokladi:

  • Google Cloud Armor (ModSecurity qoidalari bilan)
  • Azure WAF (Microsoft DRS 2.1 bilan)
  • open-appsec barcha konfiguratsiyalari

AWS’ning bir nechta mashhur himoya to‘plamlari (AWS Managed Rules, F5 va boshqalar) esa testdagi barcha hujumlarga ochiq bo‘lgan. Oddiy XSS in’yeksiyalardan tortib, murakkab soxta kodlar va aralashgan parametrlar orqali amalga oshirilgan hujumlargacha deyarli hammasi WAF’lar tomonidan aniqlanmagan.

Sun’iy intellektga asoslangan hujumlar

Yanada xavotirli jihat shundaki, tadqiqotchilar tomonidan yaratilgan avtomatlashtirilgan “hackbot” dasturi barcha WAF himoyalarini 100% darajada chetlab o‘ta olgan. Bu bot bir necha soniyalarda eng oddiy ko‘rinishdagi kodlar yordamida ham tizimni aldab, xavfli skriptlarni o‘tkaza olgan. Misol uchun, test\\’;alert(1);// kabi sodda ifoda hatto ilgari qarshilik ko‘rsatgan tizimlar — masalan, Azure WAF — ni ham yengib o‘tgan.

Bu tadqiqot shuni ko‘rsatdiki, ayniqsa «signature» asosida ishlaydigan WAF (veb ilovalar himoya devori) tizimlari ko‘plab zaifliklarga ega. Bunday tizimlar, odatda, ma’lum qoidalarga tayanib ishlaydi, lekin web-ilovaning kiruvchi ma’lumotlarni qanday qayta ishlashini chuqur anglay olmaydi. Natijada, oddiy va zararsiz ko‘rinadigan kodlar orqali xavfli XSS hujumlarini amalga oshirish imkoniyati tug‘iladi.

Sun’iy intellekt asosidagi himoya tizimlari esa bu borada yaxshiroq natijalarni ko‘rsatdi — ular doimiy ravishda o‘rganib boradi va murakkab xatti-harakatlarni aniqlashga qodir. Biroq, hatto bu ilg‘or texnologiyalar ham 100% himoya kafolatlay olmaydi.

Tavsiyalar

  • Web ilovalarni ishlab chiqishda faqat WAF’ga tayanib qolmaslik kerak.
  • Parametrlarni tekshirish va filtrlashning ilova darajasida amalga oshirilishini yo‘lga qo‘yish zarur.
  • ASP.NET kabi platformalarning o‘ziga xos xatti-harakatlarini chuqur tushunish va hisobga olish kerak.
  • Soxta so‘rovlar orqali test qilish va xavfsizlikni audit qilish doimiy bo‘lishi lozim.