根据研究人员表示,只需要使用一些技巧(在少数情况下,只需添加一个单一字符),熟练的攻击者就可以绕过WAF提供的额外的安全保护。研究人员将在美国举行的黑帽会议上展示如何绕过WAF。
从简单的文件名和路径名处理,到更复杂的多部分和unicode解析,不同的Web服务器和安全软件使用不同的方式来处理HTTP协议。漏洞管理公司Qualys的工程总监Ivan Ristic表示,通过利用web服务器及其web应用程序防火墙之间的“脱节”,攻击者可以绕过这些防御来利用web服务器中的漏洞。
Ristic表示,“这种攻击方式涉及攻击web应用程序防火墙解析数据流的方式,目前还没有关于这些问题的公开讨论和披露,除了偶尔出现的漏洞。”
虽然目前还没有很多攻击者使用规避技术来窃取数据,但web应用程序防火墙的不断普及,意味着攻击者将开始寻找规避这种防火墙的方法。为了帮助用户和渗透测试者来测试web应用程序防火墙的安全性,Ristic计划公布将近150个针对他在当前WAF中发现的不同安全漏洞的测试。
Prolexic公司技术传播者Paul Sop表示,在部署某供应商的产品前,对其产品进行测试,能够极大地帮助用户。该公司对很多系统进行了测试,并发现了一些问题,然而,对于大多数企业而言,他们无法完成这种水平的评估。
“有很多不同的攻击向量,你必须知道哪些攻击向量对应哪些功能,以及你应该如何进行测试,你如何证明你刚刚激活的控制能够运作?”他表示,一组强大的测试能够帮助用户检查供应商的产品,帮助供应商改善其系统。此外,很多企业只是开启了PCI兼容的必要功能,而没有让Web应用程序防火墙调整为适应其环境。
Sop表示,“要开启WAF的某个抽象功能,你需要更深入地了解HTTP协议以及你正在保护的应用程序,如果你不开启对某事物的保护,那么,它将不会做任何事情。”
Qualys公司的Ristic表示,所幸的是,攻击者并不会那么快地将WAF锁定为其目标,并且,设计针对WAF的规避需要具备对这些系统的很多知识。
“这些都是高级攻击,攻击者不会使用它们,”他表示,“因为部署这种类型的攻击需要花费大量精力和时间,只有当高价值目标出现时,攻击者才会使用这些规避技术。”
总体而言,WAF是一个很好的安全技术,但是需要大量更深入的研究,此外,供应商对于其技术和产品,需要更加透明。
“用户必须向供应商表明,他们非常关心WAF的质量,”他表示,“十年以来,我一直在参与WAF的开发工作,对于目前的市场状态,我感到非常失望。”