安恒信息专家浅析WEB应用防火墙绕过测试技术

伴随大量数据泄漏事件的发生，业务安全及应用安全的关注度已经达到前所未有的高度。如何保障业务安全及应用安全，以成为掌握核心数据用户的首要关注点！这就是OWASP 2012中国峰会上，安恒信息总裁范渊先生对于现在国内整体WEB应用安全现状的点评，“现在我们所面临的是一个岌岌可危的网络安全环境，整个网络就好比《皇帝的新装》中的帝王毫无隐私！”

OWASP中国区副主席、安恒信息总裁范渊先生致开幕词

近些年，越来越多的人在关注云计算、物联网、移动互联，但是人们却忽略了一个本质的问题，那就是安全，在没有安全的保障下，一切新技术、新趋势就是一纸空谈，很容易成为新兴攻击方式诞生的温床，从而带来的是无尽的危害。在本届OWASP 2012中国峰会上，安恒信息安全服务部副总监吴卓群从产品及技术的角度，向大家描述了现在国内WEB应用安全所面临的实际情况，坦然的表达了自己的忧虑及看法。吴卓群指出，尽管目前在Web 应用的各个层面，都已经使用不同的技术来确保安全性，但是，由于WEB应用的天然开放性，以及各种WEB软硬件漏洞的不可避免性，加上网络攻击技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的调查显示，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱。但目前，绝大多数企业将大量的投资花费在网络和服务器的安全上，并没有从真正意义上保证Web应用本身的安全。

安恒信息的信息安全服务部副总监吴卓群

从产品的角度出发，现阶段对于WEB应用方面常常遇到的攻击方式及手法，WAF无疑是最专业防范产品，然而随着技术日新月异，攻击的方式再也不断变化，在这样一个盾与矛的较量中，防卫者还是处于一个被动的地步。针对这样的实际情况，吴卓群指出现在WAF产品实际的现状：

1. WAF是保护WEB应用安全的设备，但缺乏足够的安全测试，目前存在大量手段可完全绕过WAF的防护策略，对保护站点进行攻击
2. 针对waf的绕过手段可以通过不完善的策略进行绕过，但风险更大的是利用解析错误彻底绕过保护
3. 国内外无论是硬件WAF还是云WAF至少90%以上存在彻底绕过的风险

由此可见，防御需要变被动为主动，安恒信息作为国内最早研发国内第一代WEB应用防火墙的企业，逐渐认识到这点，经过多年的尝试安恒信息已经总结出一套可行的技术方法，有效解决了目前针对WAF的绕过保护问题，杜绝了攻击途径，实实在在使得WAF成为有效抵御WEB攻击的最佳防御方式。