WAF

Технический стек

• Поддерживает приложения на языках Ruby, PHP, NET, Perl, Python
• API протоколы: GraphQL, gRPC, WebSocket, REST API, SOAP, XML-RPC, WebDAV, JSON-RPC

Негативная модель WAF

• Не требует конфигурирования
• Защита от OWASP top 10, OWASP API top 10, Zero-Day сразу после установки
• Каждый запрос детально изучается на наличие векторов атак
• Поддерживает безопасную разработку

Анализ и настройка

• Детальный разбор каждого запроса помогает быстро находить причины блокировок
• Настройка правил по зонам (Path, Headers, Cookie и др.) позволяет гибко управлять защитой

Активная перепроверка атак

Активная перепроверка атак проводится с помощью Антибота.

На обработку входных данных

• Cross-Site Scripting (xss) — внедрение вредоносных скриптов в браузер жертвы
• CRLF Injection (crlf) — внедрение управляющих символов, влияющих на HTTP-заголовки
• XML External Entity (xxe) — эксплуатация уязвимостей XML-парсеров
• Invalid XML (invalid_xml) — атаки, связанные с некорректными XML-файлами
• Data Bomb (data_bomb) — атаки с загрузкой чрезмерно больших или сложных файлов

На веб-шаблоны и серверные обработки

• Server-Side Template Injection (ssti) — инъекция в движки шаблонов
• Server-Side Includes Injection (ssi) — инъекция в SSI (Server-Side Includes)

На файловую систему и пути

• Path Traversal (ptrav) — атаки на доступ к файлам вне разрешенной директории
• Directory Bruteforce (dirbust) — атаки на перебор директорий

Сканирование и разведка

• Scanner (scanner) — автоматизированное сканирование уязвимостей
• Information Leak (infoleak) — атаки, направленные на извлечение конфиденциальных данных