Bypassing WAFs with the phantom $Version cookie
HTTP cookies often control critical website features, but their long and convoluted history exposes them to parser discrepancy vulnerabilities. In this post, I'll explore some dangerous, lesser-known
Der Artikel behandelt Parser-Diskrepanzen bei HTTP-Cookies und beschreibt phantom $Version cookies als Möglichkeit, WAFs zu umgehen. Cookies steuern laut Artikel häufig kritische Website-Funktionen. Konkrete betroffene WAFs, Server oder Versionen sind nicht im Artikel angegeben.
Websites, die Cookies für kritische Funktionen nutzen; Branche Behörden ist angegeben; konkrete Produkte sind nicht im Artikel angegeben
Unterschiedliche Cookie-Parser können dazu führen, dass Sicherheitskontrollen Anfragen anders bewerten als die Anwendung.
Ein Angreifer umgeht eine WAF und erreicht Anwendungscode mit unerwartet interpretierten Cookie-Daten.
Cookie-Parsing zwischen WAF, Reverse Proxy und Anwendung defensiv vergleichen und Logs auf ungewöhnliche Cookie-Syntax prüfen.
- ▸Cookie-Parser-Verhalten von WAF, Proxy und Backend-Anwendung vergleichen.
- ▸WAF-Regeln auf Abdeckung ungewöhnlicher Cookie-Attribute und historischer Cookie-Syntax prüfen.
- ▸Weblogs auf ungewöhnliche Cookie-Header, insbesondere unerwartete Versionsattribute, untersuchen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1036 Masquerading | Low | Der Artikel beschreibt das Verbergen oder anders Interpretieren von Cookie-Inhalten durch Parser-Diskrepanzen; konkrete Technikdetails sind nicht im Artikel angegeben. |
- Betroffene WAF-Produkte sind nicht im Artikel angegeben.
- Betroffene Server, Frameworks und Versionen sind nicht im Artikel angegeben.
- Keine CVEs oder IOCs sind im Artikel angegeben.