有150種方法可繞過Web應用防火牆!

　一個新的工具可測試Web應用防火牆（WAF）是否存在漏洞，可以被150多種協議級避讓技巧繞過，這是黑帽USA 2012大會上所披露的一個驚人事實。

　　安全廠商Qualys的工程經理，也是ModSecurity WAF的初創者Ivan Ristic一直在研究這一工具及其創建過程。

　　WAF旨在保護Web應用免受來自已知攻擊類型，如SQL注入等的攻擊，通常用於Web網站。WAF的功能主要是攔截來自客戶端發送的請求，並執行一些嚴格的規則，如格式與有效載荷等。

　　然而，很多違背規則的惡意請求只須修改其頭部的一些部分，或者修改所請求的URL路徑，便可采用多種方法繞過WAF.這些都是知名的協議級避讓技巧，WAF無法及時地阻斷它們，因為這些技巧並沒有被很好地記錄下來，Ristic說。

　　Ristic測試了多種主要針對ModSecurity的避讓技巧，由此可以合理地推論，其他WAF也存在著相似的漏洞。

　　Ristic說，他在研究時已經跟其他人分享過一些技巧，他們也成功地繞過了一些商用WAF產品。

　　瑞士WAF廠商Ergon Infoematik的研發負責人Erwin Huber Dohner在看了Ristic所演示的避讓方法後肯定地說，這是一個全行業存在的問題。Ergon最近已經發現了一些針對其產品的類似技巧，並且已經修復了漏洞。

　　通過將其研究公開，Ristic希望在行業內發動一場討論，專門針對協議級和其他避讓類型。相應的wiki也已經建立，目的是提供一份免費使用的可用WAF避讓技巧分類列表。

　　Ristic說，如果廠商和安全研究人員沒有記錄下他們發現的問題，並使其公開，那麼WAF開發人員就會一而再再而三地犯同樣的錯誤。

　　除此之外，該測試工具的可用性還允許用戶去發現哪些WAF產品存在漏洞，從而有希望迫使其廠商修復之。

　　廠商們有他們自己的優先事項，除非對其客戶產生了實際的威脅，否則一般是不會去修復這些漏洞的，Ristic說。這一研究項目有望讓廠商們有動因去處理這類問題。

　　Dohner對這樣的倡議表示歡迎，並認為這對於WAF開發人員和用戶來說都是有益的。