El email de hoy es un tanto especial.
Voy a ‘desnu dar’ la Newsletter Premium.
Oh.
De hecho el email de hoy es una muestra de lo que puedes encontrar dentro, como cuando vas a comprarte una colonia que acabas echando peste de tantas muestras que pruebas.
Pero hoy no acabarás echando peste, acabarás probando la mejor colonia.
Mira desde siempre que me dedico a esto, hay mucha gente que confunde lo que hacen los WAF y por eso hoy te lo quiero explicar.
Un WAF o cortafuegos de aplicación web, hace de muro contra algunas vulnerabilidades y la gente se piensa que por tener uno ya está todo hecho.
WAF activo y las balas me rebotan.
Las vulnerabilidades no existen para mí.
De entrada es un error y lo vas a comprender con esta historia.
De estas noches que sales a cenar con tus amigos y ellos no tienen muchas ganas de fiesta. De hecho os despedís todos y te quedas solo con el que comparte tu camino de vuelta a casa.
Vais deambulando por las calles con la mirada baja por no satisfacer tus necesidades de desenfreno cuando te llama la atención un callejón sin salida.
Has pasado mil veces por ahí de día y solo has visto una puerta de metal nada sospechosa, pero hoy ves mucha gente salpicada que termina yendo hacia allí.
Te asomas y ves como 3 personas pegan a la puerta, se abre una mirilla, mantienen una conversación corta y les dejan pasar.
«Oye, ¿que raro no? ¿sabes que hay ahí?»
«Hay un club clandestino por lo visto es muy privado y no puede entrar cualquiera.
Cada día cambian la contraseña para poder entrar, como en las pelis.»
Así que con la intriga te metes más adentro del callejón para ver si puedes enterarte de algo.
Vienen dos personas más, dicen su frase mágica y para dentro, pero hablan tan bajito que no eres capaz de entender nada.
«Oye no es que sea un hacha leyendo los labios pero me parece que ha dicho Sabueso.
¿Probamos?»
No tienes nada que perder, así que vas y lo intentas.
Se abre la mirilla y aparecen unos ojos que te revisan de arriba abajo.
«¿Mejor amigo de un detective?»
«Sabueso.»
«Correcto, entra.»
Acabas de saltar las medidas de seguridad del club clandestino.
Bien algo así por el estilo es como funcionan los WAF.
Es un dispositivo que analiza las peticiones hacia tu página web.
Y si le cuadran o no, las deja pasar o las bloquea.
Vale y ahora ¿cómo hace para saber si dejarte pasar o no?
¿Por cómo vistes?
Al igual que al portero de una discoteca le dan normas de vestimenta, al WAF le dan reglas también para cumplir.
No se permiten zapatos blancos puede ser una regla.
Y para el WAF una regla puede ser que cuando vea la cadena «../../../../etc/passwd» te bloquee.
Digamos que la forma de medir lo bueno que sea un WAF, es lo bien que tenga actualizada y mantenida su base de datos de reglas.
Si resulta que ha habido un cambio de turno de porteros y todavía no le han contado al nuevo portero que hoy no se dejan entrar personas con tatuajes, pues se te van a colar alguno que otro.
Las reglas no estaban al día.
A raíz de esto viene la repercusión de poder saltar al WAF.
Resulta que yo creo que estoy cubierto ante vulnerabilidades web comunes, por ejemplo del tipo XSS, da igual que no sepas que es, piensa que es una clase de vulnerabilidad, como una clase de manzana.
Manzanas hay ácidas, fuji, golden…
Y yo tengo mi web con una vulnerabilidad de ese tipo, que no quiero arreglar porque me cuesta dinero actualizar el software.
Como tengo un WAF ya estoy cubierto, no es prioritario arreglar esto.
Ay amigo, la vulnerabilidad la tienes.
Ahora aquí solo depende del ingenio que tenga el maloso para saltar al WAF, como saltas al portero de la discoteca.
Una vez lo saltes, podrás aprovechar la vulnerabilidad.
Y bueno hasta aquí el email de prueba.
Ya puedes hacerte una idea de que te vas a encontrar dentro de la Newsletter Premium.
También te digo que elegir el tema WAF ha sido a propósito, pero el por qué te lo cuento otro día.
Mientras tanto puedes seguir por aquí:
