黑帽大會：有150種方法可繞過Web應用防火牆！

一個新的工具可測試Web應用防火牆(WAF)是否存在漏洞，可以被150多種協定級避讓技巧繞過，這是黑帽USA 2012大會上所披露的一個驚人事實。

安全廠商Qualys的工程經理，也是ModSecurity WAF的初創者Ivan Ristic一直在研究這一工具及其建立過程。

WAF旨在保護Web應用免受來自已知攻擊類型，如SQL注入等的攻擊，通常用于Web網站。WAF的功能主要是攔截來自用戶端發送的請求，并執行一些嚴格的規則，如格式與有效載荷等。

然而，很多違背規則的惡意請求隻須修改其頭部的一些部分，或者修改所請求的URL路徑，便可采用多種方法繞過WAF。這些都是知名的協定級避讓技巧，WAF無法及時地阻斷它們，因為這些技巧并沒有被很好地記錄下來，Ristic說。

Ristic測試了多種主要針對ModSecurity的避讓技巧，由此可以合理地推論，其他WAF也存在着相似的漏洞。

Ristic說，他在研究時已經跟其他人分享過一些技巧，他們也成功地繞過了一些商用WAF産品。

瑞士WAF廠商Ergon Infoematik的研發負責人Erwin Huber Dohner在看了Ristic所示範的避讓方法後肯定地說，這是一個全行業存在的問題。Ergon最近已經發現了一些針對其産品的類似技巧，并且已經修複了漏洞。

通過将其研究公開，Ristic希望在行業内發動一場讨論，專門針對協定級和其他避讓類型。相應的wiki也已經建立，目的是提供一份免費使用的可用WAF避讓技巧分類清單。

Ristic說，如果廠商和安全研究人員沒有記錄下他們發現的問題，并使其公開，那麼WAF開發人員就會一而再再而三地犯同樣的錯誤。

除此之外，該測試工具的可用性還允許使用者去發現哪些WAF産品存在漏洞，進而有希望迫使其廠商修複之。

廠商們有他們自己的優先事項，除非對其客戶産生了實際的威脅，否則一般是不會去修複這些漏洞的，Ristic說。這一研究項目有望讓廠商們有動因去處理這類問題。

Dohner對這樣的倡議表示歡迎，并認為這對于WAF開發人員和使用者來說都是有益的。

網路遊俠：

請大家謹慎研究，不要做壞事。