|
個(gè)新的工具可測(cè)試Web應(yīng)用防火墻(WAF)是否存在漏洞,可以被150多種協(xié)議級(jí)避讓技巧繞過,這是黑帽USA 2012大會(huì)上所披露的一個(gè)驚人事實(shí)。
安全廠商Qualys的工程經(jīng)理,也是ModSecurity WAF的初創(chuàng)者Ivan Ristic一直在研究這一工具及其創(chuàng)建過程。
WAF旨在保護(hù)Web應(yīng)用免受來自已知攻擊類型,如SQL注入等的攻擊,通常用于Web網(wǎng)站。WAF的功能主要是攔截來自客戶端發(fā)送的請(qǐng)求,并執(zhí)行一些嚴(yán)格的規(guī)則,如格式與有效載荷等。
然而,很多違背規(guī)則的惡意請(qǐng)求只須修改其頭部的一些部分,或者修改所請(qǐng)求的URL路徑,便可采用多種方法繞過WAF。這些都是知名的協(xié)議級(jí)避讓技巧,WAF無法及時(shí)地阻斷它們,因?yàn)檫@些技巧并沒有被很好地記錄下來,Ristic說。
Ristic測(cè)試了多種主要針對(duì)ModSecurity的避讓技巧,由此可以合理地推論,其他WAF也存在著相似的漏洞。
Ristic說,他在研究時(shí)已經(jīng)跟其他人分享過一些技巧,他們也成功地繞過了一些商用WAF產(chǎn)品。
瑞士WAF廠商Ergon Infoematik的研發(fā)負(fù)責(zé)人Erwin Huber Dohner在看了Ristic所演示的避讓方法后肯定地說,這是一個(gè)全行業(yè)存在的問題。Ergon最近已經(jīng)發(fā)現(xiàn)了一些針對(duì)其產(chǎn)品的類似技巧,并且已經(jīng)修復(fù)了漏洞。
通過將其研究公開,Ristic希望在行業(yè)內(nèi)發(fā)動(dòng)一場(chǎng)討論,專門針對(duì)協(xié)議級(jí)和其他避讓類型。相應(yīng)的wiki也已經(jīng)建立,目的是提供一份免費(fèi)使用的可用WAF避讓技巧分類列表。
Ristic說,如果廠商和安全研究人員沒有記錄下他們發(fā)現(xiàn)的問題,并使其公開,那么WAF開發(fā)人員就會(huì)一而再再而三地犯同樣的錯(cuò)誤。
除此之外,該測(cè)試工具的可用性還允許用戶去發(fā)現(xiàn)哪些WAF產(chǎn)品存在漏洞,從而有希望迫使其廠商修復(fù)之。
廠商們有他們自己的優(yōu)先事項(xiàng),除非對(duì)其客戶產(chǎn)生了實(shí)際的威脅,否則一般是不會(huì)去修復(fù)這些漏洞的,Ristic說。這一研究項(xiàng)目有望讓廠商們有動(dòng)因去處理這類問題。
Dohner對(duì)這樣的倡議表示歡迎,并認(rèn)為這對(duì)于WAF開發(fā)人員和用戶來說都是有益的。(波波編譯)
| 
加載中...
發(fā)表于 2012-12-8 20:32:51
QQ好友和群
收藏