2012年8月1日 星期三

高級攻擊者開始瞄準WAF — 你的WAF安全嗎?


高級攻擊者開始瞄準WAF — 你的WAF安全嗎?

根據研究人員表示,只需要使用一些技巧(在少數情況下,只需添加一個單一字符),熟練的攻擊者就可以繞過WAF提供的額外的安全保護。研究人員將在美國舉行的黑帽會議上展示如何繞過WAF。
從簡單的文件名和路徑名處理,到更複雜的多部分和unicode解析,不同的Web服務器和安全軟件使用不同的方式來處理HTTP協議。漏洞管理公司Qualys的工程總監Ivan Ristic表示,通過利用web服務器及其web應用程序防火牆之間的「脫節」,攻擊者可以繞過這些防禦來利用web服務器中的漏洞。
Ristic表示,「這種攻擊方式涉及攻擊web應用程序防火牆解析數據流的方式,目前還沒有關於這些問題的公開討論和披露,除了偶爾出現的漏洞。」
雖然目前還沒有很多攻擊者使用規避技術來竊取數據,但web應用程序防火牆的不斷普及,意味著攻擊者將開始尋找規避這種防火牆的方法。為了幫助用戶和滲透測試者來測試web應用程序防火牆的安全性,Ristic計劃公佈將近150個針對他在當前WAF中發現的不同安全漏洞的測試。
Prolexic公司技術傳播者Paul Sop表示,在部署某供應商的產品前,對其產品進行測試,能夠極大地幫助用戶。該公司對很多系統進行了測試,並發現了一些問題,然而,對於大多數企業而言,他們無法完成這種水平的評估。
「有很多不同的攻擊向量,你必須知道哪些攻擊向量對應哪些功能,以及你應該如何進行測試,你如何證明你剛剛激活的控制能夠運作?」他表示,一組強大的測試能夠幫助用戶檢查供應商的產品,幫助供應商改善其系統。此外,很多企業只是開啟了PCI兼容的必要功能,而沒有讓Web應用程序防火牆調整為適應其環境。
Sop表示,「要開啟WAF的某個抽象功能,你需要更深入地瞭解HTTP協議以及你正在保護的應用程序,如果你不開啟對某事物的保護,那麼,它將不會做任何事情。」
Qualys公司的Ristic表示,所幸的是,攻擊者並不會那麼快地將WAF鎖定為其目標,並且,設計針對WAF的規避需要具備對這些系統的很多知識。
「這些都是高級攻擊,攻擊者不會使用它們,」他表示,「因為部署這種類型的攻擊需要花費大量精力和時間,只有當高價值目標出現時,攻擊者才會使用這些規避技術。」
總體而言,WAF是一個很好的安全技術,但是需要大量更深入的研究,此外,供應商對於其技術和產品,需要更加透明。(鄒錚/譯)

轉載自《IT 168評論》

沒有留言:

張貼留言