由 wowsbs 于 星期日, 09/19/2010 - 11:25 发表
第一代各种Web应用防火墙的缺陷汇总
0x01 部署
a.伪透明模式:第一代的WAF大多只能支持200个Web以下,或者同一个D类子网内的透明。无法做到网线级别的透明。第一代多数为伪透明部署(需要设置IP地址、端口、域名等信息),无法做到自适应(接入即可防护)。
b.极少有支持路由模式的:第一代的WAF多数没有这个功能。路由模式可以只将HTTP流量给WAF检测。比如出口是1000Mbps的,而Web带宽只有100Mbps,如果不支持路由模式,就只能浪费的去使用1000Mbps的设备。
c.鸡肋的代理模式:这个几乎都有的功能,性能之差可想而知,一次请求要建2次连接。并发数降低一半,带宽消耗增加一倍,非常不好。
0x02 检测手段
a.IPS修改而来:基本依赖字符串匹配与正则表达式,修改国外SNORT的引擎而来,解码不完善、效率极低。Unicode编码的几乎很少有支持的。数据包碎片很容易绕过检测引擎。
b.基于策略:国外厂商比较喜爱,但配置及其复杂,网页个数多的情况下,性能呈几何方式下降。在一个超过30个网站的网络里,几乎不可用。利用一些CMS的漏洞,很容易绕过国外厂商此种WAF的检测。
0x03规则
a.简单的字符串过滤规则:比如把select、insert等加为过滤关键字,一旦遇到此种字符串就视为攻击,误报极为严重。