黑帽大会:有150种方法可绕过Web应用防火墙!

日期: 2012-07-29 来源:TechTarget中国

  一个新的工具可测试Web应用防火墙(WAF)是否存在漏洞,可以被150多种协议级避让技巧绕过,这是黑帽USA 2012大会上所披露的一个惊人事实。

  安全厂商Qualys的工程经理,也是ModSecurity WAF的初创者Ivan Ristic一直在研究这一工具及其创建过程。WAF旨在保护Web应用免受来自已知攻击类型,如SQL注入等的攻击,通常用于Web网站。WAF的功能主要是拦截来自客户端发送的请求,并执行一些严格的规则,如格式与有效载荷等。

  然而,很多违背规则的恶意请求只须修改其头部的一些部分,或者修改所请求的URL路径,便可采用多种方法绕过WAF。这些都是知名的协议级避让技巧,WAF无法及时地阻断它们,因为这些技巧并没有被很好地记录下来,Ristic说。

  Ristic测试了多种主要针对ModSecurity的避让技巧,由此可以合理地推论,其他WAF也存在着相似的漏洞。他说,他在研究时已经跟其他人分享过一些技巧,他们也成功地绕过了一些商用WAF产品。

  瑞士WAF厂商Ergon Infoematik的研发负责人Erwin Huber Dohner在看了Ristic所演示的避让方法后肯定地说,这是一个全行业存在的问题。Ergon最近已经发现了一些针对其产品的类似技巧,并且已经修复了漏洞。

  通过将其研究公开,Ristic希望在行业内发动一场讨论,专门针对协议级和其他避让类型。相应的wiki也已经建立,目的是提供一份免费使用的可用WAF避让技巧分类列表。如果厂商和安全研究人员没有记录下他们发现的问题,并使其公开,那么WAF开发人员就会一而再再而三地犯同样的错误。

  除此之外,该测试工具的可用性还允许用户去发现哪些WAF产品存在漏洞,从而有希望迫使其厂商修复之。厂商们有他们自己的优先事项,除非对其客户产生了实际的威胁,否则一般是不会去修复这些漏洞的,Ristic说。这一研究项目有望让厂商们有动因去处理这类问题。Dohner对这样的倡议表示欢迎,并认为这对于WAF开发人员和用户来说都是有益的。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐