绕过Web应用程序防火墙有150种方法!
一个新的工具,可以测试是否有Web应用防火墙(WAF)的任何漏洞,可绕过150多种协议级的避税手法,这是一个令人惊讶的事实在美国黑帽大会披露2012。Qualys公司的工程经理,一个安全厂商,和ModSecurity WAF,创始人Ivan Ristic,一直在研究这一工具,其创作过程。
WAF旨在保护Web应用程序从已知攻击类型的攻击,如SQL注入,这是通常使用的网站,WAF的主要功能是拦截从客户端发送的请求和执行一些严格的规则,如格式和有效载荷等。
然而,许多恶意请求对头部的规则修改某些部分,或修改路径的URL请求,它可以使用多种方法来绕过WAF。这些都是众所周知的技术来避免协议的层次,WAF不能及时阻止他们,因为这些技能没有得到很好的记录,Ristic说。
测试技术基础能避免ModSecurity的品种,可以推断,和其他WAF具有类似的漏洞。
能说他在他研究的其他人分享了一些技巧,他们已经成功地绕过了一些商业WAF产品。
Erwin Huber Dohner,R & D的ERN infoematik瑞士WAF制造商董事,已回避方式后能证明,这是一个全行业的问题。Ern最近发现了一些类似的技术和产品已修复漏洞。
通过研究开放,系希望在行业展开讨论,具体的协议和其他类型的回避。相应的维基也提供了免费使用的可用WAF避免技术列表。
法律说,如果厂商和安全研究者没有记录他们发现并公诸于众的问题,WAF开发商会犯同样的错误一次又一次的三倍。
此外,该测试工具的可用性也允许用户发现WAF产品有漏洞,所以有希望迫使其供应商解决它。
供应商有自己的优先权。除非他们有他们的客户一个真正的威胁,Ristic说,他们通常不会修复这些漏洞,该项目有望让供应商来处理这样的问题。
多纳对此表示欢迎,认为对WAF的开发者和用户是有用的。