Web application firewall pada umumnya adalah merupakah firewall yang berjalan pada layer aplikasi yang memonitor dan memodifikasi http request. Pada dasarnya WAFs melindungi dari berbagai macam Https attacks dan queries seperti SQLI dan XSS.
v1
Karena firewall mampu mendeteksi HTTP Methods, SQL Queries dan script lain sebagai suatu input ke suatu website maka firewall bisa berfungsi pula untuk menyaring ( memfilter) request seperti selayaknya firewall.
Beberapa perangkat yang bisa dipakai untuk Web Application Firewall misalnya :
- F5
- Barracuda
- Profense
- Hyper Guard
- Dll
WAF biasanya muncul di website perbankan atau e commerce karena memang website ini merupakan website yang paling banyak di incar oleh hacker . Namun dalam kerangka seorang pen test maka kita harus bisa mendeteksi kehadiran WAF tersebut.
Kita bisa mendeteksi keberadaan WAF dengan 2 ( dua) cara yaitu cara Manual Discovery dan Automated Discovery. Teknik manual melihat keberadaan Waf dapat di indetifikasi dari melakukan cek cookies karena beberapa waf menambahkan cookie mereka sendiri dalam komunikasi antara client dan web server. Tapi cara ini relative agak sulit karena kita memang harus faham dan hapal code code cookies dari tiap tiap perangkat Waf.
Cara yang satu lagi ( automated discovery) relative lebih mudah karena menggunakan tools , salah satu tool yang dipakai adalah Wafw00f yaitu sebuah aplikasi yang dibangun dalam bahasa phyton, tool ini mampu mendeteksi dan menemukan adanya WAF. Adapun cara kerjanya adalah dengan melakukan queries webserver degan serangkaian HTTP request dan method, hasil respon dari test tersebut yang bisa mengidentifikasikan firewall pada tempatnya ( bila ada).
Sebelum kita mulai , ada baiknya kita fahami bahwa cara cara yang akan saya uraikan bertujuan untuk edukasi jadi jangan disalahgunakan, dan saya tidak bertanggung jawab bila digunakan untuk selain tujuan mencerdaskan bangsa.
Baik kita mulai saja, aplikasi Wafw00f dengan menggetikan di terminal ( bisa di Kali Linux / Parrot Linux) v2
Ketik perintah wafw00f -l , untuk melihat fungsinya
v3