一個新的工具可測試Web應用防火牆(WAF)是否存在漏洞,可以被150多種協議級避讓技巧繞過,這是黑帽USA 2012大會上所披露的一個驚人事實。
安全廠商Qualys的工程經理,也是ModSecurity WAF的初創者Ivan Ristic一直在研究這一工具及其創建過程。
WAF旨在保護Web應用免受來自已知攻擊類型,如SQL注入等的攻擊,通常用於Web網站。WAF的功能主要是攔截來自客戶端發送的請求,並執行一些嚴格的規則,如格式與有效載荷等。
然而,很多違背規則的惡意請求只須修改其頭部的一些部分,或者修改所請求的URL路徑,便可采用多種方法繞過WAF.這些都是知名的協議級避讓技巧,WAF無法及時地阻斷它們,因為這些技巧並沒有被很好地記錄下來,Ristic說。
Ristic測試了多種主要針對ModSecurity的避讓技巧,由此可以合理地推論,其他WAF也存在著相似的漏洞。
Ristic說,他在研究時已經跟其他人分享過一些技巧,他們也成功地繞過了一些商用WAF產品。
瑞士WAF廠商Ergon Infoematik的研發負責人Erwin Huber Dohner在看了Ristic所演示的避讓方法後肯定地說,這是一個全行業存在的問題。Ergon最近已經發現了一些針對其產品的類似技巧,並且已經修復了漏洞。
通過將其研究公開,Ristic希望在行業內發動一場討論,專門針對協議級和其他避讓類型。相應的wiki也已經建立,目的是提供一份免費使用的可用WAF避讓技巧分類列表。
Ristic說,如果廠商和安全研究人員沒有記錄下他們發現的問題,並使其公開,那麼WAF開發人員就會一而再再而三地犯同樣的錯誤。
除此之外,該測試工具的可用性還允許用戶去發現哪些WAF產品存在漏洞,從而有希望迫使其廠商修復之。
廠商們有他們自己的優先事項,除非對其客戶產生了實際的威脅,否則一般是不會去修復這些漏洞的,Ristic說。這一研究項目有望讓廠商們有動因去處理這類問題。
Dohner對這樣的倡議表示歡迎,並認為這對於WAF開發人員和用戶來說都是有益的。