一个新的工具可测试Web应用防火墙(WAF)是否存在漏洞，可以被150多种协议级避让技巧绕过，这是黑帽USA 2012大会上所披露的一个惊人事实。

安全厂商Qualys的工程经理，也是ModSecurity WAF的初创者Ivan Ristic一直在研究这一工具及其创建过程。

WAF旨在保护Web应用免受来自已知攻击类型，如SQL注入等的攻击，通常用于Web网站。WAF的功能主要是拦截来自客户端发送的请求，并执行一些严格的规则，如格式与有效载荷等。

然而，很多违背规则的恶意请求只须修改其头部的一些部分，或者修改所请求的URL路径，便可采用多种方法绕过WAF。这些都是知名的协议级避让技巧，WAF无法及时地阻断它们，因为这些技巧并没有被很好地记录下来，Ristic说。

Ristic测试了多种主要针对ModSecurity的避让技巧，由此可以合理地推论，其他WAF也存在着相似的漏洞。

Ristic说，他在研究时已经跟其他人分享过一些技巧，他们也成功地绕过了一些商用WAF产品。

瑞士WAF厂商Ergon Infoematik的研发负责人Erwin Huber Dohner在看了Ristic所演示的避让方法后肯定地说，这是一个全行业存在的问题。Ergon最近已经发现了一些针对其产品的类似技巧，并且已经修复了漏洞。

通过将其研究公开，Ristic希望在行业内发动一场讨论，专门针对协议级和其他避让类型。相应的wiki也已经建立，目的是提供一份免费使用的可用WAF避让技巧分类列表。

Ristic说，如果厂商和安全研究人员没有记录下他们发现的问题，并使其公开，那么WAF开发人员就会一而再再而三地犯同样的错误。

除此之外，该测试工具的可用性还允许用户去发现哪些WAF产品存在漏洞，从而有希望迫使其厂商修复之。

厂商们有他们自己的优先事项，除非对其客户产生了实际的威胁，否则一般是不会去修复这些漏洞的，Ristic说。这一研究项目有望让厂商们有动因去处理这类问题。

Dohner对这样的倡议表示欢迎，并认为这对于WAF开发人员和用户来说都是有益的。