WAF 无法防护的八种风险

一、目录遍历漏洞

测试用例:Apache 目录遍历漏洞

测试环境搭建:

apt intsall apache2 && cd /var/www/html/ && rm index.html

无法拦截原因: 请求中无明显恶意特征,无法判断为攻击行为

实战数据: 截止发稿日,云图极速版发现 1109 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

二、未授权访问

测试用例:Swagger Api接口未授权访问漏洞

测试环境搭建:

无快速部署方案

无法拦截原因: 请求中无明显恶意特征,无法判断为攻击行为

实战数据: 截止发稿日,云图极速版发现 1020 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

三、备份文件泄露

测试用例:web 目录放置一个文件

测试环境搭建:

 apt install apache2 && touch /var/www/html/www.tar.gz

无法拦截原因: 请求中无明显恶意特征,无法判断为攻击行为

实战数据: 截止发稿日,云图极速版发现 1199 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

四、数据泄露

测试用例:任意信息泄露漏洞

测试环境搭建:

可参考 vulhub :https://vulhub.org/#/environments/thinkphp/in-sqlinjection/

无法拦截原因: 请求中无明显恶意特征,无法判断为攻击行为

实战数据: 截止发稿日,云图极速版发现 2716 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

五、源站暴露

无法拦截原因: WAF 一般只会拦截来自域名的访问请求,攻击者通过域名解析后的 IP 地址进行直接访问无需经过 WAF ,可实现绕过 WAF 的效果。

实战数据: 截止发稿日,云图极速版发现 2266 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

六、QPS 超限

无法拦截原因: 部分 WAF 在遇到请求量激增,超出 QPS 处理上限后的请求会直接放行至服务器,无法进行分析和拦截。

实战数据: 截止发稿日,云图极速版还不会给用户 QPS 打超限。

七 、慢速爆破

无法拦截原因: 慢速猜解目录的场景下,只要计数周期内的探测次数小于 WAF 阈值就不会触发告警。

实战数据: 截止发稿日,云图极速版周期性满速探测均可额外发现更多漏洞。

八、未开启拦截功能

无法拦截原因: 部分 WAF 误报太多,不敢开启拦截功能。

实战数据: 截止发稿日,云图极速版已帮助大量用户发现其购买的 WAF 无法开启拦截功能。

写在最后:

统计数据来自于:云图极速版 - SAAS 攻击面发现及管理工具

市场上各家安全产品众多,技术思路各有千秋。破局之战必须拿出一些看家本领。

  1. 不依赖开源工具的安全能力,不受制于开源工具的能力上限
  2. 正向研发,从用户实际需求出发,解决实际问题
  3. 明码标价,不割韭菜
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值