高级攻击者开始瞄准WAF 你的WAF安全吗?

根据研究人员表示，只需要使用一些技巧(在少数情况下，只需添加一个单一字符)，熟练的攻击者就可以绕过WAF提供的额外的安全保护。研究人员将在美国举行的黑帽会议上展示如何绕过WAF。

从简单的文件名和路径名处理，到更复杂的多部分和unicode解析，不同的Web服务器和安全软件使用不同的方式来处理HTTP协议。漏洞管理公司Qualys的工程总监Ivan Ristic表示，通过利用web服务器及其web应用程序防火墙之间的“脱节”，攻击者可以绕过这些防御来利用web服务器中的漏洞。

Ristic表示，“这种攻击方式涉及攻击web应用程序防火墙解析数据流的方式，目前还没有关于这些问题的公开讨论和披露，除了偶尔出现的漏洞。”

虽然目前还没有很多攻击者使用规避技术来窃取数据，但web应用程序防火墙的不断普及，意味着攻击者将开始寻找规避这种防火墙的方法。为了帮助用户和渗透测试者来测试web应用程序防火墙的安全性，Ristic计划公布将近150个针对他在当前WAF中发现的不同安全漏洞的测试。

Prolexic公司技术传播者Paul Sop表示，在部署某供应商的产品前，对其产品进行测试，能够极大地帮助用户。该公司对很多系统进行了测试，并发现了一些问题，然而，对于大多数企业而言，他们无法完成这种水平的评估。

“有很多不同的攻击向量，你必须知道哪些攻击向量对应哪些功能，以及你应该如何进行测试，你如何证明你刚刚激活的控制能够运作?”他表示，一组强大的测试能够帮助用户检查供应商的产品，帮助供应商改善其系统。此外，很多企业只是开启了PCI兼容的必要功能，而没有让Web应用程序防火墙调整为适应其环境。

Sop表示，“要开启WAF的某个抽象功能，你需要更深入地了解HTTP协议以及你正在保护的应用程序，如果你不开启对某事物的保护，那么，它将不会做任何事情。”

Qualys公司的Ristic表示，所幸的是，攻击者并不会那么快地将WAF锁定为其目标，并且，设计针对WAF的规避需要具备对这些系统的很多知识。

“这些都是高级攻击，攻击者不会使用它们，”他表示，“因为部署这种类型的攻击需要花费大量精力和时间，只有当高价值目标出现时，攻击者才会使用这些规避技术。”

总体而言，WAF是一个很好的安全技术，但是需要大量更深入的研究，此外，供应商对于其技术和产品，需要更加透明。

“用户必须向供应商表明，他们非常关心WAF的质量，”他表示，“十年以来，我一直在参与WAF的开发工作，对于目前的市场状态，我感到非常失望。”