WAF adalah lapisan pertahanan penting untuk web aplikasi. Pelajari cara implementasi yang benar, dan pahami teknik bypass agar konfigurasi Anda optimal.
Apa Itu WAF?
Web Application Firewall (WAF) adalah security control yang memfilter, memonitor, dan memblokir traffic HTTP/HTTPS berbahaya ke dan dari web application.
Jenis WAF
- Network-Based WAF: Hardware appliance (F5, Imperva) - latency rendah
- Host-Based WAF: Modul pada server (ModSecurity) - fleksibel
- Cloud-Based WAF: SaaS (Cloudflare, AWS WAF, Akamai) - mudah di-deploy
WAF Deployment Mode
- Detection Mode: Log-only, tidak memblokir (untuk tuning awal)
- Prevention Mode: Aktif memblokir request berbahaya
ModSecurity + OWASP CRS
ModSecurity adalah WAF open-source yang paling populer. Dikombinasikan dengan OWASP Core Rule Set (CRS), memberikan perlindungan komprehensif terhadap SQL Injection, XSS, LFI/RFI, dan banyak lagi.
WAF Bypass Techniques (untuk testing)
- Encoding: URL encoding, Unicode, HTML entities
- Case Variation: SeLeCt, UnIoN
- Comment Injection: SEL/**/ECT, --+
- HTTP Parameter Pollution: Duplikat parameter
- Payload Fragmentation: Memecah payload di beberapa request
- Content-Type Tricks: Menggunakan multipart/form-data
Tips Konfigurasi WAF
Mulai di detection mode, tune false positives, whitelist endpoint tertentu jika perlu, monitor log secara aktif, dan update rules secara berkala.