五大厂商热门WAFs可遭JSON技术绕过

研究人员提到，Amazon Web Services、Cloudflare、F5、Imperva 和 Palo Alto公司未能识别出JSON 格式中向后端数据库提出的恶意SQL命令请求。该研究披露了基本的错配情况：主要的SQL数据库理解用JSON格式编写的命令但WAF不理解。

研究人员指出，这种技术可导致攻击者访问以及在某些情况下修改数据并攻陷应用，“通过绕过WFA的防护措施，攻击者可利用位于web应用中的其它漏洞并可能接管上述应用程序。这在云托管的应用程序中更为相关，因为在默认情况下这些应用部署很多WAF。”

Web 应用防火墙是应用攻击的关键防御层，通常用于使开发人员拥有对利用编程错误的恶意类型的一丝喘息时间。虽然很多企业都将WAFs 作为安全支柱，但WAFs远达不到完美，研究人员和攻击人员能通过很多种方式绕过它们。

例如，在2020年的一次调查中，在10名安全专业人士中就有4名声称至少一般应用攻击都绕过了WAF。在今年5月份发布的研究成果中，浙江大学研究人员就在数据库上使用多种混淆注入攻击方法并发现，在多种技术中心，JSON有助于攻击绕过基于云的WAFs。研究人员表示，“由于存在多种漏洞，检测签名并不健壮。仅需添加一些注释或空格就能绕过某些WAFs，但最有效的变化取决于具体的WAFs。”

研究人员发现潜在攻击始于调查Cambium Networks 公司无线设备管理平台时不相关的实验时。该平台的开发人员直接将用户提供的数据添加到查询末尾，这种技术直接促使研究人员开始调查更通用的应用程序。

最终，研究人员发现他们鞥能够将合法的JSON查询添加到非恶意SQL代码之后，绕过WAF检测注入攻击的能力，并使得攻击者获得对后端数据库的直接访问权限。

这种技术适用于大部分主流关系型数据库，包括PostgreSQL、微软的MSSQL、MySQL和SQLite。虽然Claroty 公司不得不解决三种技术限制如刚开始仅能检索数字无法检索字符串，研究人员最终为主流web 应用防火墙创建了通用的绕过技术。

研究人员指出，“我们绕过所有这三个限制条件后，留下一个很大的payload，使我们能够提取任何所选数据。确实，当我们使用该payload 时，设法提取了存储在数据库中的敏感信息，如会话cookie、令牌、SSH密钥和哈希密码等。”

混淆恶意代码以绕过反注入安全措施的方法由来已久。例如，2013年，攻击者开始利用位于Rails 框架上Ruby 中的一个漏洞，可使用JSON 绕过认证并将SQL命令注入 web 应用中。

企业应当升级WAFs解决方案，获得最新的修复方案。研究员还强调称企业应当部署其它安全措施，抓获未来的绕过技术，“不要将WAF解决方案作为单一的防御措施很重要。建议使用多种安全机制确保应用程序的安全，流入系限制对应用的访问并启用安全特性。”

研究人员已将易受攻击的WAFs 情况告知所有五家厂商，它们均已证实存在该漏洞并在产品中加入JSON语法支持以修复该问题。

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~