一个新的工具可测试Web应用防火墙（WAF）是否存在漏洞，可以被150多种协议级避让技巧绕过，这是黑帽USA 2012大会上所披露的一个惊人事实。

    安全厂商Qualys的工程经理，也是ModSecurity WAF的初创者Ivan Ristic一直在研究这一工具及其创建过程。WAF旨在保护Web应用免受来自已知攻击类型，如SQL注入等的攻击，通常用于Web网站。WAF的功能主要是拦截来自客户端发送的请求，并执行一些严格的规则，如格式与有效载荷等。

    然而，很多违背规则的恶意请求只须修改其头部的一些部分，或者修改所请求的URL路径，便可采用多种方法绕过WAF.这些都是知名的协议级避让技巧，WAF无法及时地阻断它们，因为这些技巧并没有被很好地记录下来，Ristic说。

    Ristic测试了多种主要针对ModSecurity的避让技巧，由此可以合理地推论，其他WAF也存在着相似的漏洞。他说，他在研究时已经跟其他人分享过一些技巧，他们也成功地绕过了一些商用WAF产品。

    瑞士WAF厂商Ergon Infoematik的研发负责人Erwin Huber Dohner在看了Ristic所演示的避让方法后肯定地说，这是一个全行业存在的问题。Ergon最近已经发现了一些针对其产品的类似技巧，并且已经修复了漏洞。

    通过将其研究公开，Ristic希望在行业内发动一场讨论，专门针对协议级和其他避让类型。相应的wiki也已经建立，目的是提供一份免费使用的可用WAF避让技巧分类列表。如果厂商和安全研究人员没有记录下他们发现的问题，并使其公开，那么WAF开发人员就会一而再再而三地犯同样的错误。

    除此之外，该测试工具的可用性还允许用户去发现哪些WAF产品存在漏洞，从而有希望迫使其厂商修复之。厂商们有他们自己的优先事项，除非对其客户产生了实际的威胁，否则一般是不会去修复这些漏洞的，Ristic说。这一研究项目有望让厂商们有动因去处理这类问题。Dohner对这样的倡议表示欢迎，并认为这对于WAF开发人员和用户来说都是有益的。
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。