高级攻击者开始瞄准WAF 你的WAF安全吗

来源:51CTO  
2012/11/26 14:17:22
根据研究人员表示,只需要使用一些技巧(在少数情况下,只需添加一个单一字符),熟练的攻击者就可以绕过WAF提供的额外的安全保护。研究人员将在美国举行的黑帽会议上展示如何绕过WAF。



本文关键字: 高级攻击者 WAF WAF安全

根据研究人员表示,只需要使用一些技巧(在少数情况下,只需添加一个单一字符),熟练的攻击者就可以绕过WAF提供的额外的安全保护。研究人员将在美国举行的黑帽会议上展示如何绕过WAF。

从简单的文件名和路径名处理,到更复杂的多部分和unicode解析,不同的Web服务器和安全软件使用不同的方式来处理HTTP协议。漏洞管理公司Qualys的工程总监Ivan Ristic表示,通过利用web服务器及其web应用程序防火墙之间的“脱节”,攻击者可以绕过这些防御来利用web服务器中的漏洞。

Ristic表示,“这种攻击方式涉及攻击web应用程序防火墙解析数据流的方式,目前还没有关于这些问题的公开讨论和披露,除了偶尔出现的漏洞。”

虽然目前还没有很多攻击者使用规避技术来窃取数据,但web应用程序防火墙的不断普及,意味着攻击者将开始寻找规避这种防火墙的方法。为了帮助用户和渗透测试者来测试web应用程序防火墙的安全性,Ristic计划公布将近150个针对他在当前WAF中发现的不同安全漏洞的测试。

Prolexic公司技术传播者Paul Sop表示,在部署某供应商的产品前,对其产品进行测试,能够极大地帮助用户。该公司对很多系统进行了测试,并发现了一些问题,然而,对于大多数企业而言,他们无法完成这种水平的评估。

“有很多不同的攻击向量,你必须知道哪些攻击向量对应哪些功能,以及你应该如何进行测试,你如何证明你刚刚激活的控制能够运作?”他表示,一组强大的测试能够帮助用户检查供应商的产品,帮助供应商改善其系统。此外,很多企业只是开启了PCI兼容的必要功能,而没有让Web应用程序防火墙调整为适应其环境。

Sop表示,“要开启WAF的某个抽象功能,你需要更深入地了解HTTP协议以及你正在保护的应用程序,如果你不开启对某事物的保护,那么,它将不会做任何事情。”

Qualys公司的Ristic表示,所幸的是,攻击者并不会那么快地将WAF锁定为其目标,并且,设计针对WAF的规避需要具备对这些系统的很多知识。

“这些都是高级攻击,攻击者不会使用它们,”他表示,“因为部署这种类型的攻击需要花费大量精力和时间,只有当高价值目标出现时,攻击者才会使用这些规避技术。”

总体而言,WAF是一个很好的安全技术,但是需要大量更深入的研究,此外,供应商对于其技术和产品,需要更加透明。

“用户必须向供应商表明,他们非常关心WAF的质量,”他表示,“十年以来,我一直在参与WAF的开发工作,对于目前的市场状态,我感到非常失望。”

 

责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918