根據(jù)研究人員表示，只需要使用一些技巧(在少數(shù)情況下，只需添加一個(gè)單一字符)，熟練的攻擊者就可以繞過WAF提供的額外的安全保護(hù)。研究人員將在美國舉行的黑帽會(huì)議上展示如何繞過WAF。

從簡單的文件名和路徑名處理，到更復(fù)雜的多部分和unicode解析，不同的Web服務(wù)器和安全軟件使用不同的方式來處理HTTP協(xié)議。漏洞管理公司Qualys的工程總監(jiān)Ivan Ristic表示，通過利用web服務(wù)器及其web應(yīng)用程序防火墻之間的“脫節(jié)”，攻擊者可以繞過這些防御來利用web服務(wù)器中的漏洞。

Ristic表示，“這種攻擊方式涉及攻擊web應(yīng)用程序防火墻解析數(shù)據(jù)流的方式，目前還沒有關(guān)于這些問題的公開討論和披露，除了偶爾出現(xiàn)的漏洞。”

雖然目前還沒有很多攻擊者使用規(guī)避技術(shù)來竊取數(shù)據(jù)，但web應(yīng)用程序防火墻的不斷普及，意味著攻擊者將開始尋找規(guī)避這種防火墻的方法。為了幫助用戶和滲透測試者來測試web應(yīng)用程序防火墻的安全性，Ristic計(jì)劃公布將近150個(gè)針對他在當(dāng)前WAF中發(fā)現(xiàn)的不同安全漏洞的測試。

Prolexic公司技術(shù)傳播者Paul Sop表示，在部署某供應(yīng)商的產(chǎn)品前，對其產(chǎn)品進(jìn)行測試，能夠極大地幫助用戶。該公司對很多系統(tǒng)進(jìn)行了測試，并發(fā)現(xiàn)了一些問題，然而，對于大多數(shù)企業(yè)而言，他們無法完成這種水平的評估。

“有很多不同的攻擊向量，你必須知道哪些攻擊向量對應(yīng)哪些功能，以及你應(yīng)該如何進(jìn)行測試，你如何證明你剛剛激活的控制能夠運(yùn)作?”他表示，一組強(qiáng)大的測試能夠幫助用戶檢查供應(yīng)商的產(chǎn)品，幫助供應(yīng)商改善其系統(tǒng)。此外，很多企業(yè)只是開啟了PCI兼容的必要功能，而沒有讓W(xué)eb應(yīng)用程序防火墻調(diào)整為適應(yīng)其環(huán)境。

Sop表示，“要開啟WAF的某個(gè)抽象功能，你需要更深入地了解HTTP協(xié)議以及你正在保護(hù)的應(yīng)用程序，如果你不開啟對某事物的保護(hù)，那么，它將不會(huì)做任何事情。”

Qualys公司的Ristic表示，所幸的是，攻擊者并不會(huì)那么快地將WAF鎖定為其目標(biāo)，并且，設(shè)計(jì)針對WAF的規(guī)避需要具備對這些系統(tǒng)的很多知識(shí)。

“這些都是高級攻擊，攻擊者不會(huì)使用它們，”他表示，“因?yàn)椴渴疬@種類型的攻擊需要花費(fèi)大量精力和時(shí)間，只有當(dāng)高價(jià)值目標(biāo)出現(xiàn)時(shí)，攻擊者才會(huì)使用這些規(guī)避技術(shù)。”

總體而言，WAF是一個(gè)很好的安全技術(shù)，但是需要大量更深入的研究，此外，供應(yīng)商對于其技術(shù)和產(chǎn)品，需要更加透明。

“用戶必須向供應(yīng)商表明，他們非常關(guān)心WAF的質(zhì)量，”他表示，“十年以來，我一直在參與WAF的開發(fā)工作，對于目前的市場狀態(tài)，我感到非常失望。”