最近我们发现有攻击者通过在请求路径中加入随机内容来绕过waf的检测,一开始并没有在意,觉得这种随机内容到了应用层肯本处理不了,因为对应的路径match不到,结果发现还是自己太天真了。
Matrix Variables :: Spring Framework
上面的链接是spring框架中对matrix parameter的支持介绍,简单的说就是http协议支持在请求的path部分中加入参数,路径和参数用;做分割。
例:
/abcd/1234 => /abcd;x=1/1234
对于上面的例子,如果应用端支持matirx variables的话,那么当访问/abcd;x=1/1234的时候,“等同于” 访问了/abcd/1234,只是应用会在/abcd路径下提取出一个x=1的参数。
简单的利用场景就是我们在waf上配置了一条策略,不允许访问/abcd/1234这个路径,但是攻击者可以通过访问/abcd;x=1/1234来绕过waf的字符串检测。
对于waf来说如何防御这种逃逸手段?
1. 暴力拦截url路径中含有;的请求,这样也许可以,但是随着web应用变得越来越复杂,url路径中经常会包含各种特殊字符,如今;字符也算是比较常见的了。如果能确保自己的应用中不会用到,那么确实可以暴力的把;干掉。
2. 可以考虑增加一个decode功能,转码真对matrix parameter这种绕过方式,在进行匹配之前先过滤掉matrix parameter。