Cobertura — Amenazas detectadas

Cobertura
total de amenazas.

OWASP Top 10, CVEs criticos, tecnicas de HTB, threat intelligence en tiempo real y anti-evasion. Todo cubierto en un unico motor.

50
Reglas activas
100%
OWASP Top 10
7
Tecnicas anti-evasion
300
Umbral blacklist (pts)
Categorias

6 categorias.
Cobertura completa.

Cada categoria agrupa vectores de ataque relacionados. Juntas cubren el 99% de los ataques reales en produccion.

8
OWASP Top 10
Las 10 vulnerabilidades mas criticas segun OWASP. Cubrimos el 100% con reglas especificas y precision alta.
SQLiXSSRCE LFISSRFXXE DeserializationMass Assignment
4
CVEs Criticos
Vulnerabilidades especificas con CVE asignado. Las mas explotadas en produccion real segun datos de CISA.
Log4ShellSpring4Shell ShellShockHTB Exploits
10
Tecnicas HTB / CTF
Tecnicas practicadas en HackTheBox y CTFs. Lo que los pentesters reales usan contra servidores en produccion.
WebshellReverse Shell Type JugglingIDOR Backup FilesNull Byte
5
Threat Intelligence
Inteligencia de amenazas en tiempo real. Nodos Tor, datacenters, VPNs y servicios de callback para SSRF ciego.
Tor 1300+Datacenter IPs VPN ComercialesBlind SSRF DNS AWS Metadata
7
APIs y Autenticacion
Ataques especificos a APIs REST y GraphQL. JWT manipulation, NoSQLi, prototype pollution y OAuth hijacking.
GraphQLJWT None NoSQLiSSTI Prototype PollutionLDAP
16
Proteccion Adicional
Vectores menos comunes pero igualmente peligrosos. CRLF, HTTP Smuggling, Cache Poisoning, Padding Oracle y mas.
CRLFHTTP Smuggling Cache PoisoningReDoS XPathVerb Tampering
OWASP

100% del OWASP
Top 10 cubierto.

El OWASP Top 10 es el estandar de referencia para vulnerabilidades web. Aervain cubre cada categoria sin excepcion.

A1
Broken Access Control
Cubierto
A2
Cryptographic Failures
Cubierto
A3
Injection
Cubierto
A4
Insecure Design
Cubierto
A5
Security Misconfiguration
Cubierto
A6
Vulnerable Components
Cubierto
A7
Auth Failures
Cubierto
A8
Software Integrity Failures
Cubierto
A9
Security Logging
Cubierto
A10
SSRF
Cubierto
CVEs

Vulnerabilidades con
CVE asignado.

Las vulnerabilidades mas explotadas activamente segun CISA KEV (Known Exploited Vulnerabilities).

CVE-2021-44228 — AERVAIN-013 CVSS 10.0 — CRITICO
Log4Shell
La vulnerabilidad mas critica de la decada. RCE sin autenticacion en Apache Log4j via JNDI lookup. Explotada masivamente desde su descubrimiento en diciembre 2021.
${jndi:ldap://}, ${jndi:rmi://}, ${lower:j}${lower:n}${lower:d}${lower:i} y variantes de evasion
CVE-2022-22965 — AERVAIN-014 CVSS 9.8 — CRITICO
Spring4Shell
RCE en Spring Framework via data binding. Afecta aplicaciones Spring MVC y Spring WebFlux corriendo en JDK 9+. Permite ejecucion de codigo arbitrario.
class.module.classLoader, ClassLoader.getParent(), spring.cloud.function
CVE-2014-6271 — AERVAIN-015 CVSS 9.8 — CRITICO
ShellShock
Ejecucion de comandos arbitrarios via Bash en servidores CGI. Detecta el patron () { :;}; en cualquier header HTTP que pueda ser procesado por Bash.
() { :;}; en User-Agent, Cookie, Referer y cualquier header personalizado
HTB Common — AERVAIN-050 SCORE 90 — ALTO
HTB Exploits
Exploits clasicos usados en HackTheBox y produccion real. WordPress brute force, xmlrpc.php, ThinkPHP RCE, Apache Struts2 y ejecucion via parametros CGI.
wp-login.php, xmlrpc.php, ThinkPHP, S2-xxx, /cgi-bin/?cmd=
Sistema de score

Blacklist automatica
por score acumulado.

Cada regla tiene un score de amenaza. La IP acumula puntos con cada ataque detectado. Al superar 300 puntos entra en blacklist permanente — sin intervencion manual.

300
Umbral de blacklist
Con 4 ataques criticos una IP ya supera los 300 puntos y queda bloqueada permanentemente. Cualquier request posterior es bloqueado en 0ms sin inspeccion.
0ms
Latencia post-blacklist
Una IP en blacklist es bloqueada antes de cualquier inspeccion. No consume recursos del motor de reglas.
Score por regla
100pts
Log4Shell, Reverse Shell, ShellShock BLOCK
95pts
RCE, Webshell, Deserialization BLOCK
90pts
SQLi, SSTI, Shell Meta BLOCK
85pts
XSS, XXE, JWT, LDAP BLOCK
75pts
Scanners, Backup files BLOCK
65pts
Server status, XML CHALLENGE
30pts
IDOR patterns LOG
Threat Intelligence

Inteligencia de
amenazas en tiempo real.

Aervain no solo analiza el payload. Tambien evalua el origen de cada request contra bases de datos de amenazas actualizadas.

1300+
Nodos Tor Bloqueados
Lista oficial de exit nodes descargada de torproject.org al arrancar. Cualquier IP Tor es bloqueada inmediatamente con AERVAIN-TOR antes de cualquier inspeccion de payload.
Actualizacion automatica cada 6 horas
8
Datacenters Detectados
Los atacantes usan servidores de datacenter, no conexiones residenciales. DigitalOcean, AWS, Hetzner, OVH, Vultr, Linode, Google Cloud y Azure identificados por rangos CIDR.
Suma score al perfil del atacante
5
VPNs Comerciales
NordVPN, ExpressVPN, Mullvad, ProtonVPN y M247 identificados por rangos de IP. Suma 50 puntos al perfil del atacante — combinado con otros vectores activa la blacklist.
Suma 50pts al score acumulado
Anti-evasion

7 tecnicas de bypass
detectadas y bloqueadas.

El payload es normalizado antes de inspeccionarse. Cambiar la codificacion no ayuda — Aervain lo decodifica todo antes de aplicar las reglas.

01
Double URL Encoding
%252F se decodifica a %2F y luego a /. Aervain aplica multiples pasadas de decodificacion hasta obtener el valor real.
%252F%252E%252E → %2F.. → /..
02
Unicode Fullwidth
Caracteres unicode de ancho completo visualmente identicos a ASCII. select es identico a select para el usuario pero diferente para un WAF simple.
select → select (U+FF53 → U+0073)
03
HTML Entities
Caracteres codificados como entidades HTML numericas. select se decodifica a select antes de inspeccion.
select → select
04
SQL Comments
Comentarios SQL insertados entre keywords para romper patrones. SE/*comment*/LECT es SQL valido pero elude WAFs que no los eliminan.
SE/**/LECT → SELECT | UN/**/ION → UNION
05
Hex Encoding
Keywords codificadas en hexadecimal. 0x53454c454354 decodifica a SELECT. Aervain detecta strings hex y los convierte antes de inspeccion.
0x53454c454354 → SELECT
06
Null Bytes
Bytes nulos (%00) insertados para terminar strings en C y confundir parsers. shell.php%00.jpg parece imagen para el validador pero PHP lo ejecuta como PHP.
shell.php%00.jpg → shell.php (C truncation)
07
Whitespace Evasion
Tabs, newlines y espacios multiples usados en lugar de espacio simple. UNION\tSELECT o UNION\nSELECT son SQL validos que evaden patrones de espacio simple.
UNION\t\nSELECT → UNION SELECT
+
Normalizacion universal
Todas las tecnicas se aplican en cadena. Un payload que use multiple tecnicas a la vez es igualmente detectado porque el motor normaliza todo antes de inspeccion.
%252F + null byte + SQL comment → decodificado completamente
Proteccion
verificada.

50 reglas. 7 tecnicas anti-evasion. Threat intel en tiempo real. Listo para produccion desde el primer dia.

Obtener licencia Ver las 50 reglas