Двоичные данные могут передаваться в закодированном виде через каналы, предназначенные только для передачи текста. С помощью стандарта кодирования Base64 любой файл преобразуется в строку текста и передается по протоколам, поддерживающим только текстовый формат. Стандарт Base64 используется например для кодирования вложений электронной почты или для встраивания графических, видео- или аудиоданных в веб-разработке.

Некоторые атаки на веб-приложения также используют стандарт кодирования Base64 для обхода фильтров межсетевых экранов, в том числе используется многократное кодирование, затрудняющее анализ исходных данных. Например, в случае SQL-внедрения выполняется кодирование SQL-запроса в Base64, чтобы обойти сигнатурный анализ. Как правило, эти данные передаются в параметрах URL, cookies и заголовках HTTP-запросов.

В UserGate WAF вы можете использовать правила публикации для декодирования и фильтрации таких данных.

Поддерживается декодирование следующих элементов HTTP-запроса:

путь из URL;
значения Cookies;
значения в заголовках HTTP-запросов;
тело запроса/ тело ответа, если в заголовке content type указан MIME-тип application/x-www-form-urlencoded;
параметры из тела POST-запроса или из URL GET-запроса.

Чтобы настроить фильтрацию закодированного трафика:

1. В разделе Настройки ➜ Политика сервисов ➜ Правила публикации создайте правило. Подробнее о создании и настройке правила публикации — в разделе «Публикация веб-сервисов».

2. В окне Настройка правила публикации на вкладке Профили безопасности установите флажок Включить защиту веб-приложений (WAF) и выберите WAF-профиль, в соответствии с которым декодированные данные будут подвергаться сигнатурному анализу. После выбора WAF-профиля станет доступной вкладка Base64.

3. На вкладке Base64 установите флажки для тех элементов клиентского запроса, которые следует декодировать.

4. Укажите количество итераций декодирования для многократно закодированных данных. Максимальное значение — 5.

5. Сохраните изменения.

При срабатывании правила публикации будет выполнена попытка декодирования выбранных элементов HTTP-запроса, а в записях журнала событий сохранится информация об изменении состояния декодированных параметров.