X-Real-IP, X-Forwarded-For и белый список WAF: разбор опасного мисконфига
Привет, Хабр. Меня зовут Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность, занимаюсь WAF и цепочками обратных прокси. В одном из недавних проектов мы с коллегами натолкнулись...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Вот важная новость с фронта ИИ: Меня зовут Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность, занимаюсь WAF и цепочками обратных прокси. В одном из недавних проектов мы с коллегами натолкнулись на странную реакцию WAF: подставляешь в запрос X-Real-IP, а WAF принимает его как реальный адрес клиента, хотя не должен так делать.
Мы потянули за эту ниточку и размотали два кейса мисконфигурации. Обе проблемы нередкие и случаются, когда команды, настраивающие разные прокси, не договорились между собой.
Технические детали
В обоих случаях злоумышленник, не входящий в белый список, может заставить WAF думать, что он в него входит и реализовать любые атаки. Эта статья для тех, кто только вникает в тему обратных прокси и WAF: студентов, начинающих инженеров.
Под катом я подробно разберу мисконфиг, чтобы вы точно не повторяли наших ошибок. Вас ждет три обратных прокси на стенде, два сценария обхода WAF, три обязательных правила для внутреннего ИБ-стандарта, плюс один анекдот.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
