一个新的工具可测试Web应用防火墙(WAF)是否存在漏洞,可以被150多种协议级避让技巧绕过,这是黑帽USA 2012大会上所披露的一个惊人事实。
安全厂商Qualys的工程经理,也是ModSecurity WAF的初创者Ivan Ristic一直在研究这一工具及其创建过程。
WAF旨在保护Web应用免受来自已知攻击类型,如SQL注入等的攻击,通常用于Web网站。WAF的功能主要是拦截来自客户端发送的请求,并执行一些严格的规则,如格式与有效载荷等。
然而,很多违背规则的恶意请求只须修改其头部的一些部分,或者修改所请求的URL路径,便可采用多种方法绕过WAF。这些都是知名的协议级避让技巧,WAF无法及时地阻断它们,因为这些技巧并没有被很好地记录下来,Ristic说。
Ristic测试了多种主要针对ModSecurity的避让技巧,由此可以合理地推论,其他WAF也存在着相似的漏洞。
Ristic说,他在研究时已经跟其他人分享过一些技巧,他们也成功地绕过了一些商用WAF产品。
瑞士WAF厂商Ergon Infoematik的研发负责人Erwin Huber Dohner在看了Ristic所演示的避让方法后肯定地说,这是一个全行业存在的问题。Ergon最近已经发现了一些针对其产品的类似技巧,并且已经修复了漏洞。
通过将其研究公开,Ristic希望在行业内发动一场讨论,专门针对协议级和其他避让类型。相应的wiki也已经建立,目的是提供一份免费使用的可用WAF避让技巧分类列表。
Ristic说,如果厂商和安全研究人员没有记录下他们发现的问题,并使其公开,那么WAF开发人员就会一而再再而三地犯同样的错误。
除此之外,该测试工具的可用性还允许用户去发现哪些WAF产品存在漏洞,从而有希望迫使其厂商修复之。
厂商们有他们自己的优先事项,除非对其客户产生了实际的威胁,否则一般是不会去修复这些漏洞的,Ristic说。这一研究项目有望让厂商们有动因去处理这类问题。
Dohner对这样的倡议表示欢迎,并认为这对于WAF开发人员和用户来说都是有益的。
网路游侠:
微博有朋友给我发了这链接:https://github.com/ironbee/waf-research
请大家谨慎研究,不要做坏事。
