​“免疫杀手” Deep X-RAY

对于人体来说，免疫系统是抵抗病毒的“安全防线”。而对于企业来说，WAF(Web Application Firewal，简称WAF)就好比企业安全的免疫系统，它是网络安全边界上的第一道防线，帮助企业抵御病毒入侵。

近日，腾讯朱雀实验室发现了一种全新的攻击技术，能够借助机器学习，以黑盒方式探测出WAF后端规则，从而实现完美规避。对于企业来说，这无疑是个“免疫杀手”。新技术的出现，必然会带来新的影响。唯有不断探索安全的边界，提前发现风险，才能促进行业安全水平提升。

朱雀实验室是TEG安全平台部下设的安全实验室，专注于实战攻防和AI安全研究，通过发掘腾讯业务和前沿技术的安全风险，以攻促防，守护腾讯安全。

一、网络边界的免疫系统“WAF”

2019年底出现的新冠病毒“COVID-19”，以迅雷不及掩耳之势在全球肆虐。在疫苗出现之前，抵抗病毒靠的是自身免疫力，它是人体的一道“防火墙”，抵抗各种病毒细菌的入侵。

WAF(Web Application Firewal，简称WAF)就好比企业安全的免疫系统，它是网络安全边界上的第一道防线，被广泛的应用在了电子商务、企业门户、博客论坛等诸多类型的站点中。类似于人体免疫力抵御病毒的入侵，WAF免疫系统抵挡外部黑客入侵、攻击、渗透，从而防止商业机密被盗取、用户数据被泄漏等安全事件的发生。通常WAF系统基于多条规则（我们称之为正则表达式）来拦截外部攻击的，这就好比免疫系统中的白细胞杀死侵入人体的病毒细菌。WAF系统中的规则就好比人体的白细胞，而病毒和细菌便是常见的网络攻击，例如sql注入攻击。

二、探测防御系统的X光

当人体免疫系统出问题时，病毒细菌便会趁虚而入，造成疾病的产生。而对于WAF系统也是同样的道理，当黑客掌握了WAF规则的漏洞的时候，便可绕过防御系统继续攻击，危害企业安全。那么如何逆向出规则呢？

我们首先看看安全专家是如何做的，这里以ModSecurity中的一条防护规则为例，updatexml对于做渗透的同学都很熟悉，它常用在报错注入当中用来获取数据。

防护规则：(?i)\bupdatexml\W*\(

分解这条规则，如上图所示，有两个比较重要的部分，边界匹配\