Les WAF - un concours canin

Renaud FEIL et Renaud DUBOURGUAIS (Synacktiv) ont fait un retour d'expérience quant à des tests sur des Web Application Firewalls (WAF), et tout particulièrement sur différentes offres "dans le nuage". Le support de la présentation est disponible sur le site de l'OSSIR.

Une telle offre de service logiciel à la demande est relativement classique dans son principe. Ca cible, un composant de sécurité en l'occurrence, fait apparaître des risques précis :

• l'interface de gestion du WAF est, par nature, accessible depuis Internet. Elle offre des fonctionnalités très importantes (redirection vers le serveur final, filtrage, etc.)
• les règles de filtrages sont généralement mutualisées pour tous les clients du service. Elles ne sont alors pas modifiables ou adaptables à un besoin particulier.
• certains WAF fonctionnent via le DNS. Le véritable serveur reste accessible. Si l'agresseur en trouve l'adresse, le WAF est alors court-circuité.
• d'autres WAF reposent sur l'insertion de code dans le service Web à protéger, ce code devant valider les informations transmises par les internautes. Tout problème dans ce code spécifique peut mettre en périle le service protégé.

Plusieurs WAF ont été choisis au hasard parmi les offres existantes, et leur sécurité a été évaluée.