Teknik mengidentifikasi web apllication firewall dengan menggunakan WAFW00F
Web application firewall pada umumnya adalah merupakah firewall yang berjalan pada layer aplikasi yang memonitor dan memodifikasi http request. Pada dasarnya WAFs melindungi dari berbagai macam Https attacks dan queries seperti SQLI dan XSS.
Karena firewall mampu mendeteksi HTTP Methods, SQL Queries dan script lain sebagai suatu input ke suatu website maka firewall bisa berfungsi pula untuk menyaring ( memfilter) request seperti selayaknya firewall.
Beberapa perangkat yang bisa dipakai untuk Web Application Firewall misalnya :
- F5
- Barracuda
- Profense
- Hyper Guard
- Dll
WAF biasanya muncul di website perbankan atau e commerce. Dalam kerangka seorang pen test maka kita harus bisa mendeteksi kehadiran WAF tersebut.
Kita bisa mendeteksi keberadaan WAF dengan 2 ( dua) cara yaitu cara Manual Discovery dan Automated Discovery. Teknik manual melihat keberadaan Waf dapat di indetifikasi dari melakukan cek cookies karena beberapa waf menambahkan cookie mereka sendiri dalam komunikasi antara client dan web server. Tapi cara ini relative agak sulit karena kita memang harus faham dan hapal code code cookies dari tiap tiap perangkat Waf.
Cara yang satu lagi ( automated discovery) relative lebih mudah karena menggunakan tools , salah satu tool yang dipakai adalah Wafw00f yaitu sebuah aplikasi yang dibangun dalam bahasa phyton, tool ini mampu mendeteksi dan menemukan adanya WAF. Adapun cara kerjanya adalah dengan melakukan queries webserver degan serangkaian HTTP request dan method, hasil respon dari test tersebut yang bisa mengidentifikasikan firewall pada tempatnya ( bila ada).
Sebelum kita mulai , ada baiknya kita fahami bahwa cara cara yang akan saya uraikan bertujuan untuk edukasi jadi jangan disalahgunakan, dan saya tidak bertanggung jawab bila digunakan untuk selain tujuan mencerdaskan bangsa.
Baik kita mulai saja, aplikasi Wafw00f dengan menggetikan di terminal ( bisa di Kali Linux / Parrot Linux)
Ketik perintah wafw00f -l , untuk melihat fungsinya
Cara pemakaiannya sederhana yaitu dengan ketik “wafw00f url “
Kita coba hasilnya untuk melakukan cek pada beberapa sites yang kita kenal sebagai e-commerce / banking yang kita kenal, misalnya amazon.com, bhinneka.com dan klikbca.com.
Dalam contoh diatas ini situs amazon sepertinya menggunakan perangkat Waf Citrix NetScaler
Untuk situs Bhinneka, terdeketeksi Waf nya namun tidak kenal karena ada proteksi block di packet level.
Untuk situs klikbca.com, tampak Waf nya menggunakan BIG-IP.
Demikianlah dapat saya sampaikan untuk hari ini, kesimpulan nya adalah ada beberapa teknik untuk mendeteksi kehadiran dari Waf, yang salah satunya telah saya uraikan, ini merupakan salah satu pondasi sebelum langkah lanjutan pada penetration tester kita tempuh. Semoga bermanfaat.
Referensi :
http://kalilinuxtutorials.com/ig/wafw00f/