战五渣?四大云WAF实战测试险遭团灭

自媒体 自媒体

点击蓝字存眷我们

(本文来自www.777n.com)



(自媒体www.777n.com)


(自媒体www.777n.com)

很多企业将Web应用法式防火墙(WAF)默认为珍爱Web应用法式时的最佳实践或合规性要求。WAF是一种特定的防火墙,旨在识别和阻止Web应用法式流量的冲击。盼望防火墙将阻止号令注入冲击、跨站点剧本冲击、和谈违规以及其他针对Web应用法式的常见冲击。


跟着企业数字转型和“平安上云”活动的开展,以及当下疫情加重的Web平安焦虑,越来越多的企业起头考虑云WAF防火墙产物,使用在云中预设置的WAF对Web应用进行珍爱。除了专业WAF厂商外,今朝首要的云供给商都经由收购或许研发雄厚了本身的WAF产物,它们与办事商本身的负载平衡器很好地集成在一路。


与传统硬件WAF比拟,除了伟大的价钱优势外,云WAF还有以下凸起长处:



布置简洁,维护成本低


这也是云WAF最有价格和受用户喜爱的一点,无需安装任何软件或许布置任何硬件设备,只需点窜DNS即可将网站布置到云WAF的防护局限之内。



用户无需更新


云WAF的防护划定都处于云端,新破绽爆发时,由云端负责划定的更新和维护,用户无需担心因为疏忽导致受到新型的破绽冲击。



可充任CDN


云WAF在供应防护功能的同时,还同时具有CDN的功能,在进行防护的同时还能够提高网站接见的速度,CDN经由跨运营商的多线智能解析调剂将静态资源动态负载到全国的云节点,用户接见某个资源时会被指导至比来的云端节点从而提高接见速度。


然则,今朝国际市场上一些有代表性的云WAF产物(本文首要商议云较量办事商供应的云WAF),究竟“能不克打”?


在Gartner的调研申报下面,好多企业平安人员的留言对云WAF也是褒贬纷歧,一位软件工程师认为AWS Web Application Firewall是“最靠得住的软件”。但另一位专家称云WAF有“需要进一步解决的问题”。至于Azure,谈论似乎加倍复杂。一位架构师认为,“仍预备了专用WAF设备作为备份”,尽管很多人认为它“易于实施和使用”。


因为今朝市场上很少有第三方机构对云较量办事商的云WAF产物进行实战检测,是以客户对云WAF机能和功能的认知,有时候或者只是一种对云平安的“蜜汁自信”。云WAF是否能够很好地阻止常见的Web应用法式冲击?


近日,收集平安团队Fraktal针对AWS WAF (Amazon)、AWS WAF (Fortinet)、AZURE WAF (CRS 3.1)、BARRACUDA(梭子鱼)WAF-as-a-service四款常见的云办事商的云WAF产物(办事)做了一个实战测试,究竟有些令人惊讶。测试内容如下:



测试设置


我们在AWS和Azure中搭建了测试情况,以测试云WAF。我们的设置包罗以下内容:


  • 冲击者的主机在特定的方针Web主机上执行数千个剧本化的测试用例。我们将有效负载注入了发往方针主机的HTTP GET和POST恳求。


  • 在云容器平台上,方针Web主机运行容器化自界说Web办事器——AWS Elastic Container Service ECS或Azure容器实例ACI。该Web办事器对所有传入HTTP恳求反馈HTTP响应代码“200 OK”。


  • 方针Web主机前置一个具备WAF功能的云负载均衡器——AWS Elastic Load Balancer ELB或Azure Web Application Gateway。


  • 从Azure Marketplace设置的梭子鱼WAF即办事(WaaS),将流量定向到Azure ACI上的方针Web主机。



测试团队为AWS和Azure内部解决方案遴选了云托管版本的贸易WAF产物进行对比测试。四款产物采用的划定/办事如下:


  • Azure应用法式网关WAF,使用来自开放式Web应用法式平安项目(OWASP)的CRS 3.1划定


  • 使用梭子鱼托管划定从Azure市场设置的梭子鱼WAF即办事(WaaS)


  • 使用Amazon托管划定的AWS WAF


  • 使用Fortinet托管划定的AWS WAF



在Azure云中,总体测试系统构造如下所示,在AWS云上的测试情况采用了完全沟通的设置。


 

用于测试保持到Azure和AWS云负载均衡器的WAF的高级测试系统构造


测试梭子鱼WAF即办事需要采用备用设置,测试团队在Azure云上设置了办事,对前述设置进行了最小的更改。


 

用于在Azure中测试梭子鱼WAF即办事的高级系统构造


测试团队使用2月19日当日上述云办事上可用的托管默认值进行了测试。为了正确模拟用户使用这些办事的最常见体式,测试者没有删除或添加任何或者影响检测或阻止冲击能力的划定或界说。对于AWS托管划定,用户必需选择划定组,因为能够同时启用的划定组数量受到限制,测试者选择了一种能够最好地笼盖OWASP十大威胁的划定组合,为测试用例供应最佳珍爱。



所选划定组

  • AWS-AWSManagedRulesSQLiRuleSet

  • AWS-AWSManagedRulesLinuxRuleSet

  • AWS-AWSManagedRulesKnownBadInputsRuleSet

  • AWS-AWSManagedRulesCommonRuleSet

  • AWS-AWSManagedRulesPHPRuleSet

  • AWS-AWSManagedRulesAdminProtectionRuleSet



测试用例


为了测试WAF,测试团队遴选了几种实际中常见的几种冲击和绕过方式,针对自界说Web办事器经由HTTP提议这些冲击,方针办事器将记录那些经由WAF的恳求。


测试使用的冲击方式如下(词条注释引用自owasp.org):


  • 号令执行:经由向应用法式中注入号令损坏系统。


  • 办事器端包含注入(SSI):SSI是Web应用法式上存在的指令,用于向HTML页面供应动态内容。办事器端包含冲击许可经由将剧本注入HTML页面或长途执行随意代码来行使Web应用法式。


  • SQL注入:向客户端到应用法式的输入数据中注入SQL查询。


  • 路径遍历:路径遍历冲击(也称为目录遍历)旨在接见存储在Web根文件夹外部的文件和目录。


  • 花样错误的XML文档:花样错误的文档可用于消费资源或注入恶意号令。


  • 跨站点剧本(XSS):跨站点剧本(XSS)冲击是一种注入冲击,个中,恶意剧本经由收集浏览器从恶意网站注入到原本良性和可托任的网站中。



这组测试方式代表了针对网站的典型冲击。测试用例的目的不涉及买卖逻辑弱点,以及其他可被恶意行使的应用逻辑。



检测究竟


究竟是令人震惊的,除了Azure WAF,其他几款云WAF的示意都是灾难性的。

 

四大云WAF测试究竟数据(百分比透露被阻止的冲击比重,数字越高越好)

 

肉眼可见,使用CRS 3.1划定的Azure WAF的冲击防护成功率远高于其他三款云WAF产物,也是在整个测试用例集中能靠得住执行的独一云WAF办事。


测试申报的此外一个有趣发现是,是否使用URL字符编码,对WAF的平安机能示意影响极大!例如,梭子鱼阻止了我们所有未编码的SSI测试用例,但在编码时则仅能阻止一半。是以,从冲击者的角度来看,测验使用分歧的编码或者是逃避WAF珍爱的有效方式。



几个小事实


AWS托管的WAF在本次测试中的示意最为“宽松”,它会放行以下有效载荷进行冲击:



此外,AWS中托管的Fortinet WAF和Azure中的梭子鱼WAF即办事也都许可这两个示例。


从有效载荷和拒绝的响应来看,很难对WAF的内部运作得出很多结论。有时,WAF的各类行为看上去非常杂沓和搞笑,例如:


  • AWS托管WAF对POST和GET恳求的处理体式似乎完全分歧。例如这个恳求在GET恳求中被阻止,但在POST恳求中被许可:%2e%2e//etc/passwd。


  • AWS托管WAF可以阻止有效负载ls-l/var/www/*,但却又许可有效负载&& ls-l/var/www/*,|ls-l/var/www/*依此类推。


  • 梭子鱼WAF即办事在该字符'是有效载荷的独一字符时会果断地阻止该字符,但同时又许可如许的有效载荷,例如eval('sleep 5');和'whoami。




结论


究竟表明,云WAF办事生下来就是不屈等的,并且大多数IaaS云办事商的WAF办事还远远赶不上第三方方案。接管测试的AWS、Azure和梭子鱼中,Azure WAF无疑是赢家,而且是独一运行精巧的办事。而AWS和梭子鱼的产物,对一些最常见的冲击类型都“睁一只眼闭一只眼”。


若是企业要在云中构建应用法式,则应属意“选配”的平安办事是否可以达到平安需求。固然购置云WAF或者是一种合规需要,但用户该当清醒地熟悉到,云较量厂商的“免费午餐”,有时候平安机能或者与您想象得不太一般。



声明



本项云WAF测试由Fraktal收集平安团队的Tuomo、Tommi和Marko完成,其测试究竟仅基于特定测试情况和设置,除了在特定测试情况和用例中对照云WAF办事的相对机能之外,,这些测试究竟无意在任何其他上下文应用场景中进行注释或作为用户选择产物的依据。


相关阅读

基于云的WAF VS. 内陆布置WAF

下一代防火墙究竟是什么?云和复杂性又若何影响到它?


合作德律:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com



自媒体微信号:777n扫描二维码关注公众号
爱八卦,爱爆料。
小编推荐
  1. NO.1 神奇的魔法蛋糕,1次能吃到3种口感,用料做法都简洁

    魔法蛋糕是一款很神奇的蛋糕,经由烘焙后会在一个蛋糕里主动分层,呈现出三种分歧状况,,让你一次吃到3种口感,用料做法都很简洁,赶紧试一

  2. NO.2 淘宝20块钱的帆布包也太悦目了吧!一口气买十个!

    哈喽美宝宝们晚上好 你们可爱的鸡宝宝又来啦! 不知道人人平时最常背的包包是哪个 鸡是无论剁手几多个包包 最常背的必然是 帆布包 ! 帆布包真

  3. NO.3 经典人力成本核算剖析

    每到做人力成本的预算时,都邑让HR小伙伴头大。因为这项工作需要财务、买卖多部门配合协作完成:算产值、奖金,展望昔时的营业收入和需要投入

  4. NO.4 一位教师妈妈的心声:家长别把负能量传给孩子,请相信先生的

    比来, “家庭教育” 这一话题引起了人人的普遍商议。同伙圈撒布的各类段子和文章,让“焦虑”成了家长的集体画像。焦虑的背后其实是无处安放

  5. NO.5 男生有生理回响和爱你没紧要,就像你妈打你,不讲事理...

    相信好多宝宝跟男票在一路的时候 都邑发现一个神奇的生理现象 那就是:发现男票 丁丁勃起 通俗点讲就是: 硬了 (为了协调文明旁观,接下来喵

  6. NO.6 5款超等火爆的手撕面包,好吃不腻,口感松软,看一遍就能学会

    为防走失、错过出色,请实时 添加星标 哦! 一个专注0根蒂免费学烘焙的平台 微旌旗: bake360 今天分享几款超好吃的手撕面包给人人,无需繁琐的整

  7. NO.7 其实,不到500块的连衣裙就够美了!

    本年的炎天来得太突如其来了吧!一波升温搞得人措手不及。不分南北,北京上海上周末都要破30度了?! Reformation 2019春夏 Kate Dress Urban Outfitters 2

  8. NO.8 紧要通知:如今成就569分以下的高中生,必然要看这篇文章,影

    高考仅剩2个月,你是否还在 学校 刷 题 、讲题、测验中 无限 轮回…… 这种进修方式下,成就一向没有提拔? 前次测验做错的题,此次依旧会做错

Copyright2018.亲亲自媒体资讯站,让大家及时掌握各行各业第一手资讯新闻!