萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 有150種方法可繞過Web應用防火牆!

有150種方法可繞過Web應用防火牆!

 一個新的工具可測試Web應用防火牆(WAF)是否存在漏洞,可以被150多種協議級避讓技巧繞過,這是黑帽USA 2012大會上所披露的一個驚人事實。

  安全廠商Qualys的工程經理,也是ModSecurity WAF的初創者Ivan Ristic一直在研究這一工具及其創建過程。

  WAF旨在保護Web應用免受來自已知攻擊類型,如SQL注入等的攻擊,通常用於Web網站。WAF的功能主要是攔截來自客戶端發送的請求,並執行一些嚴格的規則,如格式與有效載荷等。

  然而,很多違背規則的惡意請求只須修改其頭部的一些部分,或者修改所請求的URL路徑,便可采用多種方法繞過WAF.這些都是知名的協議級避讓技巧,WAF無法及時地阻斷它們,因為這些技巧並沒有被很好地記錄下來,Ristic說。

  Ristic測試了多種主要針對ModSecurity的避讓技巧,由此可以合理地推論,其他WAF也存在著相似的漏洞。

  Ristic說,他在研究時已經跟其他人分享過一些技巧,他們也成功地繞過了一些商用WAF產品。

  瑞士WAF廠商Ergon Infoematik的研發負責人Erwin Huber Dohner在看了Ristic所演示的避讓方法後肯定地說,這是一個全行業存在的問題。Ergon最近已經發現了一些針對其產品的類似技巧,並且已經修復了漏洞。

  通過將其研究公開,Ristic希望在行業內發動一場討論,專門針對協議級和其他避讓類型。相應的wiki也已經建立,目的是提供一份免費使用的可用WAF避讓技巧分類列表。

  Ristic說,如果廠商和安全研究人員沒有記錄下他們發現的問題,並使其公開,那麼WAF開發人員就會一而再再而三地犯同樣的錯誤。

  除此之外,該測試工具的可用性還允許用戶去發現哪些WAF產品存在漏洞,從而有希望迫使其廠商修復之。

  廠商們有他們自己的優先事項,除非對其客戶產生了實際的威脅,否則一般是不會去修復這些漏洞的,Ristic說。這一研究項目有望讓廠商們有動因去處理這類問題。

  Dohner對這樣的倡議表示歡迎,並認為這對於WAF開發人員和用戶來說都是有益的。


copyright © 萬盛學電腦網 all rights reserved