Трюк с чемоданом мусора: как хакеры обходят защиту сайтов с помощью... пробелов

Представьте сурового охранника на входе в клуб. Его работа простая: проверять всех, кто входит, и не пускать нежелательных гостей. В интернете эту роль берут на себя WAF-системы, то есть фаерволы для веб-приложений.

А теперь вопрос. Что будет, если злоумышленник придет не с ножом в кармане, а с огромным чемоданом, набитым мусором до отказа? И где-то на самом дне этого чемодана, под кучей фантиков и пустых коробок, лежит то самое оружие.

Большинство охранников с таким просто не справятся. Именно на этом и строится техника Padding Evasion. Звучит скучно, работает пугающе эффективно.

Как это устроено

Хакер берет вредоносный код, например, эксплойт под уязвимость React2Shell, и буквально закапывает его в гигантский объем цифрового мусора. Пустые строки, бесконечные пробелы, комментарии ни о чем. Запрос раздувается до неприличных размеров.

И вот тут у систем защиты начинаются проблемы. Дело в том, что большинство WAF проверяют только первые 128 килобайт данных. Больше не смотрят. Это не лень, это архитектурное решение: полный анализ каждого запроса убил бы производительность устройства. Но именно этим и пользуются злоумышленники.

Столкнувшись с таким запросом, охранник ведет себя одним из трех способов.

Первый, самый опасный: машет рукой и пропускает. Проверил первые килобайты мусора, ничего подозрительного не нашел, ну и ладно. Именно так по умолчанию ведут себя системы от Cloudflare, F5 и Fortinet, что показали независимые тесты. Хакер входит без единого вопроса.

Второй: паникует и блокирует вообще все. Видит запрос нестандартного размера и закрывает доступ на всякий случай. Атака не прошла, это хорошо. Но вместе с хакером под блокировку попали и обычные пользователи, которые просто хотели загрузить тяжелую фотографию. Для бизнеса это деньги на ветер.

Третий, и таких единицы: анализирует весь запрос целиком, находит угрозу на самом дне и пропускает нормальных людей без проблем.

Что с этим делать

Громкое имя вендора не гарантирует ничего. Красивые цифры в рекламных материалах тоже. Производители систем безопасности умеют красиво рассказывать о своих продуктах, но часто умалчивают, что в реальных условиях их решение или пропустит угрозу, или заблокирует половину легитимного трафика.

Единственный способ не купить кота в мешке — тестировать систему в условиях, приближенных к реальным. Не по документации вендора, а под живой нагрузкой.

Такое тестирование делаем, например, мы в РУТЕСТ. Наши специалисты используют инструменты, такие как IXIA CyPerf, которые воспроизводят настоящую сетевую и облачную нагрузку, и честно показывают: твой охранник реально работает или просто хорошо выглядит.

Подписывайтесь на наш канал в ТГ, где мы регулярно публикуем материалы про нагрузочное и функциональное тестирование ИТ/ИБ решений и инфраструктуры.