近日,“五大厂商热门WAF可遭JSON技术绕过”的话题在业内传得沸沸扬扬,事件大致情况为,五家领先供应商销售的Web应用防火墙 (WAF) 在检查SQL注入语法中不支持JSON语法的检查,可被轻松绕过。
据事件透露的情况来看,有一个恶意的SQLi有效负载,包含JSON语法,WAF并没有将请求标记为恶意请求并进行拦截。可见,只需在请求的开头加上简单的JSON语法,就能够在云上使用SQLi 漏洞泄露敏感信息。换句话说,SQL注入可通过JSON格式特殊字符的转义后轻松绕过WAF从而攻击业务系统。
“安全门卫”WAF
Web应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。WAF的基本原理是利用服务器API去获取应用层数据,然后匹配自己的规则库,利用正则表达式来分析判断数据的合法性,生成白名单、黑名单,最后进行访问控制。
WAF的优点是可以进行流量告警,WAF通常的安装方式是将WAF串行部署在Web服务器前端,用于检测、阻断异常流量,对全流量进行分析。
但是WAF的缺点更让企业头痛,易被绕过、误报率高、维护成本高、需要不断更新规则库、出现0day不能及时防御等都让安全部门极为苦恼。除了开篇提到的WAF被绕过的案例,WAF的绕过手段还有很多,比如:
-
大小写:诸如UnIOn SeleCT
-
特殊符号:奇奇怪怪的符号,甚至是表情符号
-
注释符号:/**/、#、/*!select*/等等…
知道了WAF的基本原理也就很好理解WAF为什么容易被绕过,因为WAF的防护需要匹配自己的规则库,而攻击者只需要通过一些简单的变形,就可轻松绕过WAF的规则库。同时WAF进行全流量的检测,经常会把正常流量误认为恶意流量进行误报,影响正常业务。那么现在市场上有没有新的技术可以解决WAF的困境?近两年兴起了一项新技术,“Runtime application self-protection”,让应用程序通过实时识别和阻止攻击来保护自己,即运行时应用程序自我保护技术,简称RASP。
“贴身保镖”RASP
2014年,Gartner引入了“Runtime application self-protection”一词,它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。
RASP通过在应用程序的字节码中动态插桩检测“探针”,来获取应用程序各种运行时的上下文信息,在应用程序运行时,利用当前上下文信息实时保护应用。
将WAF和RASP进行对比,WAF很像一个门卫,而RASP相当于应用程序的贴身保镖,深处应用程序内部,无论攻击怎么变形,在最后实施攻击时,RASP就会实时监测进行防护。任你千路来,我只一路去。
例如SQL注入,无论是前端页面输入的SQL注入,还是JSON数据格式转换变形后的SQL注入,只要最后的查询语句存在注入攻击,RASP会在应用程序代码层级进行最后防护并阻断请求,将检测到的攻击事件展示在RASP管理后台,支持攻击事件的多维度展示:可以提供代码、HTTP请求、数据流、URL等问题点信息,同时提供定位、修复和建议。
开源网安RASP的优势
开源网安实时应用自我防护平台(RASP),采用插桩技术实现无需人工干预的、无感知的攻击检测和防护功能。针对互联网企业和分布式应用项目,RASP平台的部署效率与防护效果更加明显,其优势如下:
-
准确率高:RASP技术是以探针的形式插桩在应用程序字节码中,获取程序运行时上下文信息进行组合,所以基本不存在绕过漏报的可能;
-
误报率低:RASP可以明确知道攻击和合法信息请求之间的区别,这使得RASP的误报率极低,不会影响正常业务运行;
-
维护成本低:RASP的技术特征是深处应用内部,无感知自动保护应用程,所以多数情况下只需初始的安装部署及防御策略的配置,无需额外的人工干预;
-
智能应对0Day攻击:可以在几秒钟内快速创建和部署虚拟补丁,在数小时内将保护标准化为0day防御方案;
-
常见攻击检测:支持多种攻击检测与展示,其中包括逻辑漏洞攻击、内容防护、IP黑白名单、Webshell防护等;
-
灵活度高:适用不同的个性化业务场景,根据企业的业务需求可制定自己的防护策略;
-
多维度防护手段:多种攻击检测、应用加固、安全基线检查、第三方库检测等。
310
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
