|
個新的工具可測試Web應用防火墻(WAF)是否存在漏洞�����,可以被150多種協(xié)議級避讓技巧繞過���,這是黑帽USA 2012大會上所披露的一個驚人事實。
安全廠商Qualys的工程經理���,也是ModSecurity WAF的初創(chuàng)者Ivan Ristic一直在研究這一工具及其創(chuàng)建過程��。
WAF旨在保護Web應用免受來自已知攻擊類型���,如SQL注入等的攻擊,通常用于Web網站��。WAF的功能主要是攔截來自客戶端發(fā)送的請求��,并執(zhí)行一些嚴格的規(guī)則���,如格式與有效載荷等��。
然而�����,很多違背規(guī)則的惡意請求只須修改其頭部的一些部分�����,或者修改所請求的URL路徑��,便可采用多種方法繞過WAF�����。這些都是知名的協(xié)議級避讓技巧��,WAF無法及時地阻斷它們���,因為這些技巧并沒有被很好地記錄下來,Ristic說���。
Ristic測試了多種主要針對ModSecurity的避讓技巧���,由此可以合理地推論,其他WAF也存在著相似的漏洞��。
Ristic說���,他在研究時已經跟其他人分享過一些技巧��,他們也成功地繞過了一些商用WAF產品�����。
瑞士WAF廠商Ergon Infoematik的研發(fā)負責人Erwin Huber Dohner在看了Ristic所演示的避讓方法后肯定地說���,這是一個全行業(yè)存在的問題�����。Ergon最近已經發(fā)現(xiàn)了一些針對其產品的類似技巧���,并且已經修復了漏洞。
通過將其研究公開���,Ristic希望在行業(yè)內發(fā)動一場討論�����,專門針對協(xié)議級和其他避讓類型���。相應的wiki也已經建立,目的是提供一份免費使用的可用WAF避讓技巧分類列表���。
Ristic說�����,如果廠商和安全研究人員沒有記錄下他們發(fā)現(xiàn)的問題�����,并使其公開���,那么WAF開發(fā)人員就會一而再再而三地犯同樣的錯誤��。
除此之外���,該測試工具的可用性還允許用戶去發(fā)現(xiàn)哪些WAF產品存在漏洞,從而有希望迫使其廠商修復之��。
廠商們有他們自己的優(yōu)先事項��,除非對其客戶產生了實際的威脅���,否則一般是不會去修復這些漏洞的,Ristic說�����。這一研究項目有望讓廠商們有動因去處理這類問題。
Dohner對這樣的倡議表示歡迎���,并認為這對于WAF開發(fā)人員和用戶來說都是有益的���。(波波編譯)
| 
發(fā)表于 2012-12-8 20:32:51
QQ好友和群
收藏