安恒信息浅析WEB应用防火墙绕过测试技术

伴随大量数据泄漏事件的发生，业务安全及应用安全的关注度已经达到前所未有的高度。如何保障业务安全及应用安全，以成为掌握核心数据用户的首要关注点!这就是OWASP 2012中国峰会上，安恒信息总裁范渊先生对于现在国内整体WEB应用安全现状的点评，“现在我们所面临的是一个岌岌可危的网络安全环境，整个网络就好比《皇帝的新装》中的帝王毫无隐私!”

OWASP中国区副主席、安恒信息总裁范渊先生致开幕词

近些年，越来越多的人在关注云计算、物联网、移动互联，但是人们却忽略了一个本质的问题，那就是安全，在没有安全的保障下，一切新技术、新趋势就是一纸空谈，很容易成为新兴攻击方式诞生的温床，从而带来的是无尽的危害。在本届OWASP 2012中国峰会上，安恒信息安全服务部副总监吴卓群从产品及技术的角度，向大家描述了现在国内WEB应用安全所面临的实际情况，坦然的表达了自己的忧虑及看法。吴卓群指出，尽管目前在Web 应用的各个层面，都已经使用不同的技术来确保安全性，但是，由于WEB应用的天然开放性，以及各种WEB软硬件漏洞的不可避免性，加上网络攻击技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的调查显示，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱。但目前，绝大多数企业将大量的投资花费在网络和服务器的安全上，并没有从真正意义上保证Web应用本身的安全。

安恒信息的信息安全服务部副总监吴卓群

从产品的角度出发，现阶段对于WEB应用方面常常遇到的攻击方式及手法，WAF无疑是最专业防范产品，然而随着技术日新月异，攻击的方式再也不断变化，在这样一个盾与矛的较量中，防卫者还是处于一个被动的地步。针对这样的实际情况，吴卓群指出现在WAF产品实际的现状：

1. WAF是保护WEB应用安全的设备，但缺乏足够的安全测试，目前存在大量手段可完全绕过WAF的防护策略，对保护站点进行攻击

2. 针对waf的绕过手段可以通过不完善的策略进行绕过，但风险更大的是利用解析错误彻底绕过保护

3. 国内外无论是硬件WAF还是云WAF至少90%以上存在彻底绕过的风险

由此可见，防御需要变被动为主动，安恒信息作为国内最早研发国内第一代WEB应用防火墙的企业，逐渐认识到这点，经过多年的尝试安恒信息已经总结出一套可行的技术方法，有效解决了目前针对WAF的绕过保护问题，杜绝了攻击途径，实实在在使得WAF成为有效抵御WEB攻击的最佳防御方式。

游侠简评：

因为爱好的关系，和安恒信息的一些技术人员有过沟通，发现有不少渗透测试的员工，还是非常尽职尽责的。前一段有问我：知道哪家在用A厂家的WAF不?知道哪家在用B厂家的WAF不?好吧，一听就知道在研究绕过技术了。

以前遇到一个项目，国内的几大家做WAF的厂家都在，客户找了个有漏洞的程序放上，不出意外的，全部在当天晚上被专业的渗透测试团队拿下。所以，WAF的绕过技术研究，实际上也就是WAF加固的研究，还是很有意义的。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友