Le piège du « suffisamment bon »
Si vous demandez à la plupart des organisations comment elles protègent leurs API, elles désignent leur WAF (Web Application Firewall). Elles ont les OWASP Top 10 règles activées. Le tableau de bord est vert. Elles se sentent en sécurité.
Mais les attaquants savent exactement comment votre WAF fonctionne et, plus important encore, comment le tromper.
Nous avons récemment travaillé avec un grand client d'entreprise, un leader mondial de la technologie de la santé, qui l'a constaté par lui-même. Des attaquants ont ciblé leur API de catalogue accessible au public avec Path Traversal et Local File Inclusion (LFI) attaques. Ce sont des attaques standard que tout WAF devrait bloquer. Mais le WAF les a laissées passer.
Pourquoi ? Les attaquants ont utilisé Double-Encoding.
L'anatomie d'une évasion
Pour comprendre pourquoi le WAF a échoué, nous devons examiner la syntaxe.
- Le Verrou : Un WAF standard recherche des caractères malveillants spécifiques, tels que ../ (point-point-barre oblique), qui indiquent qu'un attaquant tente de remonter un répertoire pour accéder à des fichiers sensibles.
- L'astuce : L'attaquant encode les caractères malveillants en utilisant l'encodage d'URL.
- Normal : ../
- Encodé une fois : %2e%2e%2f (La plupart des WAF le détectent)
- Doublement encodé : %252e%252e%252f
- L'échec : Le moteur d'inspection du WAF décode la chaîne une seule fois. Il voit %2e%2e%2f. Selon la configuration du WAF, cela peut apparaître comme une chaîne de caractères inoffensive et donc laisser passer le trafic.
- L'exploit : L'application backend reçoit les données et les décode. Si l'application gère le décodage de manière récursive, elle décode la chaîne en ../ et exécute ensuite la commande.
L'importance du contexte
Alors que le WAF a été trompé par la syntaxe, la plateforme Salt Illuminate ne l'a pas été.
Parce que Salt analyse le comportement et le contexte plutôt que de simplement faire correspondre des signatures à une liste, notre plateforme a immédiatement signalé l'activité. Nous n'avons pas seulement vu une requête web ; nous avons détecté une anomalie dans le modèle de trafic et la structure de la charge utile qui s'écartait du comportement légitime de l'utilisateur.
Transformer les informations en actions
Salt n'a pas seulement alerté le client ; nous lui avons fourni le plan d'action pour résoudre le problème.
Nous avons regroupé les schémas d'attaque pour montrer l'étendue complète de la campagne.
Nous avons exposé la charge utile spécifique doublement encodée.
Le client a utilisé ces données pour créer une règle WAF personnalisée (Regex : (.*%252e%252e%252f.*)) qui recherche spécifiquement ce modèle de décodage.
Cette intelligence ne reste pas isolée. En intégrant ces informations dans les flux de travail à l'aide d'outils tels que Cloudflare, Splunk, et Wiz, les organisations peuvent boucler la boucle entre la détection et la prévention, rendant la sécurité opérationnelle à grande échelle. De plus, en tirant parti du moteur de gouvernance de la posture Salt, l'équipe va au-delà du blocage réactif pour identifier et corriger de manière proactive les lacunes de posture, garantissant ainsi que les risques sont atténués à mesure que leur paysage d'API s'étend.
La menace future : les agents IA
Bien que cette attaque spécifique ait pu être orchestrée par un humain, elle illustre parfaitement la menace posée par l'IA agentique.
Les agents IA peuvent effectuer du « fuzzing logique » à la vitesse de la machine. Ils peuvent tester de manière autonome des milliers de techniques d'évasion, telles que le Triple Encoding, l'obfuscation Unicode ou le fractionnement de requêtes, jusqu'à ce qu'ils trouvent la combinaison que votre WAF ignore.
Les WAF sont d'excellents gardiens, mais ce ne sont pas des enquêteurs. Ils arrêtent ce qui est connu, mais ils peinent face à ce qui est caché. Pour protéger votre infrastructure d'API des hackers humains et des agents IA, vous avez besoin d'une couche de sécurité qui comprend l'intention, et pas seulement la syntaxe.
Si vous souhaitez en savoir plus sur Salt et comment nous pouvons vous aider, contactez-nous, planifiez une démo, ou visitez notre site web. Vous pouvez également Obtenez une évaluation gratuite de la surface d'attaque API de l'équipe de recherche de Salt Security et découvrez ce que les attaquants savent déjà.
