SQL-инъекции в платёжном шлюзе

Финтех-стартап с платёжным шлюзом на 200+ магазинов. Во время аудита обнаружили активные SQL-инъекции на API endpoint-ах.

Анализ логов nginx выявил паттерн атаки:

• 12 000+ попыток SQL-инъекций в сутки
• Атакующие использовали ботнет с ротацией IP
• Часть запросов обходила базовую валидацию
• Обнаружены попытки XSS через параметры callback
• Брутфорс API-ключей merchant-аккаунтов

Без WAF защита держалась только на prepared statements. Для PCI DSS требовался defense-in-depth подход.

Этап 1: Развёртывание WAF

1. ModSecurity + OWASP Core Rule Set 3.3 — индустриальный стандарт защиты. Как настроить WAF с нуля →
2. Paranoia Level 2 — баланс защиты и false positives
3. Rate Limiting: 100 req/min на токен, 1000/min на IP

Этап 2: Кастомные правила

• Блокировка SQL-инъекций: UNION SELECT, OR 1=1
• Защита от XSS: санитизация script-тегов
• IP Reputation: блок TOR, известных proxy
• Fingerprinting подозрительных клиентов. Как фильтровать ботов без ложных срабатываний →

Этап 3: Мониторинг

Без видимости нет безопасности. Настроили полный стек мониторинга по нашему гайду:

• Prometheus + Grafana для WAF-метрик
• Alertmanager — алерты в Slack при аномалиях
• Webhook-и для автоматических реакций
• Логи в SIEM для baseline анализа

Нужна помощь с защитой API? Смотрите наши решения по безопасности — от аудита до внедрения WAF.

PCI DSS Level 1 сертификация пройдена успешно.

• 100% блокировка SQL-инъекций и XSS
• WAF обрабатывает 12K атак/день автоматически
• Latency API: +3ms — незаметно для клиентов
• ModSecurity + OWASP правила обновляются автоматически
• Выявлен и заблокирован брутфорс merchant dashboard