灰鴿子遠程控制軟件
標題: 有150種方法可繞過Web應用防火墻 [打印本頁]
作者: a1070607660 時間: 2012-12-8 20:32
標題: 有150種方法可繞過Web應用防火墻
個新的工具可測試Web應用防火墻(WAF)是否存在漏洞��,可以被150多種協(xié)議級避讓技巧繞過�,這是黑帽USA 2012大會上所披露的一個驚人事實�。
安全廠商Qualys的工程經(jīng)理,也是ModSecurity WAF的初創(chuàng)者Ivan Ristic一直在研究這一工具及其創(chuàng)建過程��。
WAF旨在保護Web應用免受來自已知攻擊類型��,如SQL注入等的攻擊�,通常用于Web網(wǎng)站。WAF的功能主要是攔截來自客戶端發(fā)送的請求�,并執(zhí)行一些嚴格的規(guī)則��,如格式與有效載荷等�。
然而�,很多違背規(guī)則的惡意請求只須修改其頭部的一些部分,或者修改所請求的URL路徑�,便可采用多種方法繞過WAF。這些都是知名的協(xié)議級避讓技巧�,WAF無法及時地阻斷它們,因為這些技巧并沒有被很好地記錄下來��,Ristic說�。
Ristic測試了多種主要針對ModSecurity的避讓技巧��,由此可以合理地推論����,其他WAF也存在著相似的漏洞。
Ristic說��,他在研究時已經(jīng)跟其他人分享過一些技巧����,他們也成功地繞過了一些商用WAF產(chǎn)品。
瑞士WAF廠商Ergon Infoematik的研發(fā)負責人Erwin Huber Dohner在看了Ristic所演示的避讓方法后肯定地說����,這是一個全行業(yè)存在的問題��。Ergon最近已經(jīng)發(fā)現(xiàn)了一些針對其產(chǎn)品的類似技巧��,并且已經(jīng)修復了漏洞����。
通過將其研究公開�,Ristic希望在行業(yè)內(nèi)發(fā)動一場討論,專門針對協(xié)議級和其他避讓類型�。相應的wiki也已經(jīng)建立,目的是提供一份免費使用的可用WAF避讓技巧分類列表��。
Ristic說����,如果廠商和安全研究人員沒有記錄下他們發(fā)現(xiàn)的問題,并使其公開��,那么WAF開發(fā)人員就會一而再再而三地犯同樣的錯誤����。
除此之外,該測試工具的可用性還允許用戶去發(fā)現(xiàn)哪些WAF產(chǎn)品存在漏洞����,從而有希望迫使其廠商修復之��。
廠商們有他們自己的優(yōu)先事項����,除非對其客戶產(chǎn)生了實際的威脅��,否則一般是不會去修復這些漏洞的����,Ristic說。這一研究項目有望讓廠商們有動因去處理這類問題����。
Dohner對這樣的倡議表示歡迎��,并認為這對于WAF開發(fā)人員和用戶來說都是有益的����。(波波編譯)
作者: 白鴿子 時間: 2013-1-10 02:09
灰鴿子下載,灰鴿子使用教程,www.huigezi.org 灰鴿子遠程監(jiān)控軟件,灰鴿子官網(wǎng)論壇
作者: liyihao17 時間: 2013-2-5 13:07
好厲害的樣子誒
作者: zxw1989 時間: 2013-4-17 15:57
好帖子,頂一下
作者: laueast 時間: 2013-5-28 03:47
好編不斷
精彩無限
收頂了
作者: ruyan6979 時間: 2013-9-10 19:58
樓主很專業(yè)����,寫得很好��!
作者: jianfeng282828 時間: 2014-1-7 21:04
水水水水水水水水水水水水水水水水水水水水水水水水水
| 歡迎光臨 灰鴿子遠程控制軟件 (http://www.wzgoogletg.cn/) |
Powered by Discuz! X3.4 |