- Ethiyak은 최근 주요 공급 업체로부터 17 개의 다른 WAF 구성을 테스트했습니다.
- 페이로드의 복잡성이 증가함에 따라 WAF를 우회하는 성공률은 극적으로 증가했습니다.
- 가장 정교한 WAF는 비교적 간단한 페이로드로 패배 할 수 있습니다.
웹 응용 프로그램 불꽃 놀이 Alls (WAF)는 조직이 가정하는 것만 큼 탄력적이지 않으며 종종 악의적 인 JavaScript 코드를 주입하기 위해 우회 할 수 있다고 전문가들은 경고했다.
보안 연구원들은 최근 큰 공급 업체의 17 가지 WAF 구성을 테스트하여 악의적 인 급여를 차단하는 데 얼마나 성공적인지 확인했습니다.
실제 -월드 보고서는 실제 -월드 침투 테스트에 중점을 둡니다. asp.net 고도로 제한된 WAF에 의해 보호되는 응용 프로그램. 그러나 불꽃 놀이 계약에도 불구하고 연구원들은 HTTP 매개 변수 오염이라는 기술을 통해 XSS (Cross-Site Scripting) 약점을 남용 할 수 있음을 발견했습니다.
분리 된 매개 변수 분석
이 방법은 다른 웹 프레임 워크가 동일한 이름으로 여러 차원을 처리하는 방법을 남용하여 종종 오염 된 JavaScript 코드의 조작으로 통합합니다.
에티 야크는 페이로드의 복잡성이 증가함에 따라 WAF를 우회하는 성공률이 크게 증가했다고 말했다. 간단한 주사의 경우 성공률 17.6%를 가졌으며 고급 “매개 변수 오염”기술의 경우 70% 이상 증가했습니다.
소설의 위험을 감지하도록 설계된 기계 학습 기반 WAF는 미묘한 구문 분석 트릭과 모호성에 취약했습니다. 그러나 Ethiq의 가장 놀라운 발명은 가장 정교한 WAF조차도 비교적 단순한 급여로 패배 할 수 있다는 것입니다.
WAF의 문제는 패턴 일치에 따라 외로움으로 매개 변수를 분석하는 것으로 보입니다.
결과적으로, 그들은 웹 애플리케이션의 구문 분석 및 해석에 의미있게 눈을 멀게합니다. 예를 들어, ASPNNTM은 중복 매개 변수를 결합하고 JavaScript는 유효한 실행 가능한 코드를 쉼표로 나눈 값으로 동작합니다.
연구원들은 브라우저에서 JavaScript를 감지하고 운영하여 오염 된 코드를 여러 차원으로 나누는 급여를 제작할 수있었습니다.
연구원들은 “기본 보안 전략은이 발견에서 중요한 약점을 강조했다. 조직은 비싼 WAF 기술에 투자하면서 기본 구현 간격 또는 구성 관찰을 흡수하는 공격에 민감 할 수있다”고 결론 지었다.
“이것은 WAF가 안전하지 않은 코드의 루트 문제에 대한 수정으로 사용해서는 안된다는 것을 상기시켜줍니다.”
