Sua IA está em conformidade? Registre-se Hoje

Indústria

Por Que Seu WAF Não Detectou: O Perigo da Codificação Dupla e das Técnicas de Evasão na Segurança da Saúde

February 2, 2026

Eric Schwake
Head of Product Marketing

A Armadilha do "Bom o Suficiente"

Se você perguntar à maioria das organizações como elas protegem suas APIs, elas apontam para seu WAF (Firewall de Aplicações Web). Elas têm as OWASP Top 10 regras ativadas. O painel está verde. Elas se sentem seguras.

Mas os atacantes sabem exatamente como seu WAF funciona e, mais importante, como enganá-lo.

Recentemente, trabalhamos com um grande cliente empresarial, um líder global em tecnologia de saúde, que vivenciou isso na prática. Atacantes miraram sua API de catálogo pública com ataques de Path Traversal e Inclusão de Arquivo Local (LFI) . Estes são ataques padrão que qualquer WAF deveria bloquear. Mas o WAF os deixou passar.

Por quê? Os atacantes usaram Codificação Dupla.

A Anatomia de uma Evasão

Para entender por que o WAF falhou, precisamos examinar a sintaxe.

  1. O Cadeado: Um WAF padrão procura por caracteres maliciosos específicos, como ../ (ponto-ponto-barra), o que indica que um invasor está tentando subir um diretório para acessar arquivos sensíveis.
  2. O Truque: O invasor codifica os caracteres maliciosos usando codificação de URL.
    • Normal: ../
    • Codificado uma vez: %2e%2e%2f (A maioria dos WAFs detecta isso)
    • Codificado duas vezes: %252e%252e%252f
  3. A Falha: O motor de inspeção do WAF decodifica a string uma vez. Ele vê %2e%2e%2f. Dependendo da configuração do WAF, isso pode parecer uma string de caracteres inofensiva e, portanto, permitir o tráfego.
  4. A Exploração: A aplicação de backend recebe os dados e os decodifica. Se a aplicação lida com a decodificação recursivamente, ela decodifica a string de volta para ../ e então executa o comando.

A Diferença que o Contexto Faz

Embora o WAF tenha sido enganado pela sintaxe, o Salt Illuminate Platform não foi.

Como a Salt analisa o comportamento e o contexto em vez de apenas comparar assinaturas com uma lista, nossa plataforma sinalizou a atividade imediatamente. Não vimos apenas uma requisição web; vimos uma anomalia no padrão de tráfego e na estrutura do payload que se desviava do comportamento legítimo do usuário.

Transformando Insights em Ação

A Salt não apenas alertou o cliente; nós lhes fornecemos o roteiro para a correção.

Agrupamos os padrões de ataque para mostrar o escopo completo da campanha.

Expusemos o payload específico codificado duas vezes.

O cliente usou esses dados para criar uma regra WAF personalizada (Regex: (.*%252e%252e%252f.*)) que procura especificamente por esse padrão de decodificação.

Essa inteligência não vive isolada. Ao integrar esses insights em fluxos de trabalho usando ferramentas como Cloudflare, Splunk, e Wiz, as organizações podem fechar o ciclo entre detecção e prevenção, operacionalizando a segurança em escala. Além disso, ao aproveitar o Mecanismo de Governança de Postura Salt, a equipe vai além do bloqueio reativo para identificar e remediar proativamente as lacunas de postura, garantindo que o risco seja mitigado à medida que seu cenário de API se expande.

A Ameaça Futura: Agentes de IA

Embora este ataque específico possa ter sido roteirizado por um humano, ele ilustra perfeitamente a ameaça representada pela IA Agente.

Agentes de IA podem realizar "logic fuzzing" na velocidade da máquina. Eles podem testar autonomamente milhares de técnicas de evasão, como Triple Encoding, ofuscação Unicode ou divisão de requisições, até encontrarem a combinação que seu WAF ignora.

WAFs são excelentes guardiões, mas não são investigadores. Eles param o que é conhecido, mas têm dificuldade com o que está oculto. Para proteger sua estrutura de API tanto de hackers humanos quanto de agentes de IA, você precisa de uma camada de segurança que entenda intenção, não apenas a sintaxe.

Se você quiser saber mais sobre a Salt e como podemos ajudar, por favor entre em contato conosco, agende uma demonstração, ou visite nosso site. Você também pode Obtenha uma avaliação gratuita da superfície de ataque de API da equipe de pesquisa da Salt Security e descubra o que os atacantes já sabem.

Blog da Salt Security

Assine a Newsletter da Salt para receber os recursos e posts de blog mais recentes.

Nossas últimas publicações