X-Real-IP, X-Forwarded-For и белый список WAF: разбор опасного мисконфига

10.06.2026 09:30:26 | Хабр

Хабы: Блог компании К2Тех, Информационная безопасность, Сетевые технологии, IT-инфраструктура

Привет, Хабр. Меня зовут Аскар Добряков, ведущий эксперт направления защиты данных и приложений в К2 Кибербезопасность, занимаюсь WAF и цепочками обратных прокси. В одном из недавних проектов мы с коллегами натолкнулись на странную реакцию WAF: подставляешь в запрос X-Real-IP, а WAF принимает его как реальный адрес клиента, хотя не должен так делать.

Мы потянули за эту ниточку и размотали два кейса мисконфигурации. Обе проблемы нередкие и случаются, когда команды, настраивающие разные прокси, не договорились между собой. В обоих случаях злоумышленник, не входящий в белый список, может заставить WAF думать, что он в него входит и реализовать любые атаки.

Эта статья для тех, кто только вникает в тему обратных прокси и WAF: студентов, начинающих инженеров. Под катом я подробно разберу мисконфиг, чтобы вы точно не повторяли наших ошибок. Вас ждет три обратных прокси на стенде, два сценария обхода WAF, три обязательных правила для внутреннего ИБ-стандарта, плюс один анекдот.

Подробнее

Читайте также

Парадокс Джевонса и будущее разработчиков: почему ИИ не сократит спрос на программистов
10.06.2026 09:19:41 | Хабр

[Перевод] Опасности первичных ключей UUID в SQLite и оптимизация данных
10.06.2026 09:19:29 | Хабр

Когда складской модуль ERP уже не справляется и нужна WMS
10.06.2026 09:19:19 | Хабр

В Томске создали наночастицы для диагностики и лечения рака
10.06.2026 09:08:03 | ferra.ru

[Перевод] Claude против краевых случаев: как LLM-агент нашёл баги в NumPy и других Python-библиотеках
10.06.2026 09:00:44 | Хабр

Карьерная пересборка после повышения: почему многие руководители чувствуют себя хуже, хотя объективно стали сильнее
10.06.2026 09:00:01 | Хабр

Как я сделал Smart Select для Krita: локальное AI-выделение объектов по лассо
10.06.2026 08:55:43 | Хабр

Сказочная анатомия успешного ИТ-проекта
10.06.2026 08:52:00 | Хабр

Tarantool DataBase и Kafka: событийная архитектура без лишних слоев
10.06.2026 08:47:07 | Хабр

Оптимизация под Pagespeed: работа с изображениями как с наиболее частой и весомой проблемой сайтов
10.06.2026 08:42:22 | Хабр

Свой инструмент для бенчмаркинга ИИ-агентов: архитектура, надёжность и интеграция с Airflow
10.06.2026 08:40:02 | Хабр

Мессенджер Ласточка. Мы в Rustore. Cобственный DSL и федеративная архитектура
10.06.2026 08:27:04 | Хабр

Как нейросети решают, чей бренд процитировать: разбор RAG-архитектуры поиска и что из этого следует для GEO
10.06.2026 08:26:29 | Хабр

Meta* после скандала удалила код распознавания лиц из приложения для своих умных очков
10.06.2026 08:23:06 | ferra.ru

День 1568: «Москвич» запланировал запустить производство первой гибридной модели в 2027 году
10.06.2026 08:21:35 | vc.ru

[Перевод] Каково это — работать с Fable 5 (Mythos)
10.06.2026 08:17:55 | Хабр

«Я не смог устоять»: как один человек в 1965-м добавил null, и оставил индустрии счёт на миллиард долларов
10.06.2026 08:00:04 | Хабр

Жизнь в Японии: почему «технология» не равно «цифровизация»?
10.06.2026 08:00:00 | Хабр

Claude Fable 5 в России без VPN. Anthropic два месяца прятала свою лучшую модель
10.06.2026 07:52:03 | Хабр

Spawn — фреймворк для разработки AIDD методологий
10.06.2026 07:50:55 | Хабр

Обучение универсальным навыкам в IT
10.06.2026 07:48:46 | Хабр

Как использовать Claude в России в 2026: самая полная инструкция
10.06.2026 07:41:54 | Хабр

Пик продаж как стресс-тест для ИТ-инфраструктуры или почему интернет-магазины не выдерживают сезонную нагрузку
10.06.2026 07:38:17 | Хабр

OSINT: военная история открытой разведки
10.06.2026 07:24:03 | Хабр

Спасут ли теперь шапочки из фольги от Старлинка Илона Маска??
10.06.2026 07:22:19 | Хабр

Не только кот: геометрия цвета по Шрёдингеру
10.06.2026 07:15:49 | Хабр

Shakey: Поразительно умный робот из 60-х
10.06.2026 07:00:22 | Хабр

ICLR 2026 в Рио-де-Жанейро: главные ML-тренды, математика и инсайты
10.06.2026 07:00:09 | Хабр

Механизм создания многосегментных компонентов WPF на примере 7 и 16 сегментов
10.06.2026 06:51:05 | Хабр

PLC AI Studio, часть 2: многопроектный режим и маршрутные окна — как провести ИИ через целый объект
10.06.2026 06:43:22 | Хабр

Кейс CRM-платформы «Модус»: уходим из Confluence в Docs as Code
10.06.2026 06:34:41 | Хабр

YOLOv8 против OpenCV на чертежах метро: почему простая геометрия победила нейросеть
10.06.2026 06:18:00 | Хабр

Может ли ИИ думать? Разбираем вопрос без философии
10.06.2026 06:05:43 | Хабр

Шесть основ бизнес-анализа: как выявить потребность и отделить истинную цель бизнеса от промежуточных решений
10.06.2026 06:00:57 | Хабр

Прозрачный режим PAM: контроль привилегированного доступа без изменения рабочих сценариев
10.06.2026 06:00:53 | Хабр

Смотреть все

НОВОСТИ

Вместо парковки — озеро: В тюменском ЖК затопило десятки премиальных авто
10.06.2026 21:20:33 | Life.ru

«От Индии до Испании»: Захарова назвала Чурсину послом России
10.06.2026 21:19:58 | Life.ru

Пострадавшие в ДТП в центре Екатеринбурга находятся в сознании
10.06.2026 21:17:27 | ТАСС

Лантратова намерена добиться международной оценки удара ВСУ в Севастополе
10.06.2026 21:17:10 | Life.ru

Пушков: Киев останется в вечном предбаннике ЕС, требуя там особое положение
10.06.2026 21:16:07 | ТАСС

«Прекрасные страна и люди»: Американская журналистка Оуэнс решила подать на долгосрочную визу в РФ
10.06.2026 21:16:00 | Life.ru

В ДНР заявили, что ВСУ готовятся повторить сценарий "Азовстали" в Краматорске
10.06.2026 21:14:25 | ТАСС

Axios: США рассчитывают, что удары по Ирану не помешают заключить сделку
10.06.2026 21:14:22 | ТАСС

Посол США в Израиле высказался об анонсированных Трампом ударах по Ирану
10.06.2026 21:13:26 | Lenta.ru

На побережье Черного моря Кубани восстановили работу на водозаборе
10.06.2026 21:12:22 | ТАСС

Раскрыта судьба подмосковного дома известного композитора
10.06.2026 21:11:22 | Lenta.ru

Вучич допустил уход с поста президента Сербии и выдвижение на пост премьера
10.06.2026 21:11:20 | ТАСС

Посол РФ: Швейцария первой протянет России руку после победы на Украине
10.06.2026 21:10:07 | ТАСС

Трамп: ВС США провели через Ормузский пролив свыше 200 судов, включая танкеры
10.06.2026 21:09:53 | ТАСС

Дмитриев назвал ключ к восстановлению отношений России и США
10.06.2026 21:06:54 | Lenta.ru

Дрон ВСУ атаковал гражданское авто с двумя детьми в ЛНР
10.06.2026 21:06:13 | Life.ru

Захарова предложила экспертам ЮНЕСКО билеты в Севастополь на место атаки ВСУ
10.06.2026 21:05:56 | ТАСС

Японские медведи снова убивают людей. Они стали умнее, опаснее и почти добрались до Токио. Пострадал турист из России
10.06.2026 21:05:45 | Lenta.ru

Футбольный клуб "Акрон" снял ролик на Таймс-сквер перед стартом ЧМ
10.06.2026 21:04:16 | ТАСС

Водитель автобуса в Екатеринбурге заявил, что не помнит момент смертельного наезда
10.06.2026 21:03:41 | Life.ru

Умер старейший советский участник Олимпийских игр
10.06.2026 21:03:35 | ТАСС

Назван десятисекундный тест для определения скрытых проблем с сердцем
10.06.2026 21:03:24 | Lenta.ru

Два мирных жителя пострадали при ударе дрона по ТЦ и АЗС в Брянской области
10.06.2026 21:03:10 | Коммерсантъ

Основательницу финансовой пирамиды Суханкину приговорили к четырем годам колонии
10.06.2026 21:02:38 | ТАСС

ФАС зафиксировала рост обращений на недобросовестные действия операторов связи
10.06.2026 21:01:03 | ТАСС

Макрон рассказал, кто примет участие в саммите G7
10.06.2026 21:00:12 | ТАСС

Певица Zivert оправдалась за конфуз в откровенном наряде на сцене
10.06.2026 20:59:50 | Lenta.ru

Напарница Серены Уильямс снялась с турнира в Лондоне из-за травмы
10.06.2026 20:59:36 | РБК

Над Брянской областью уничтожили 65 украинских БПЛА самолетного типа
10.06.2026 20:59:00 | ТАСС

Над Брянской областью уничтожены 65 украинских БПЛА самолетного типа
10.06.2026 20:59:00 | ТАСС

Belgee временно прекратил продажи своего бестселлера X50 в России
10.06.2026 20:58:52 | Life.ru

В музее «Обороны Севастополя» рассказали о спасенных фрагментах панорамы
10.06.2026 20:58:39 | РБК

Нашествие мошкары в Москве объяснили
10.06.2026 20:57:36 | Lenta.ru

Пловец Корнев установил рекорд России на дистанции 50 метров баттерфляем
10.06.2026 20:56:37 | Life.ru

ИНСОМАР: почти у 70% россиян есть домашние животные
10.06.2026 20:56:24 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro