日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
戰(zhàn)五渣?四大云WAF實戰(zhàn)測試險遭團滅

 許多企業(yè)將Web應(yīng)用程序防火墻(WAF)默認為保護Web應(yīng)用程序時的優(yōu)秀實踐或合規(guī)性要求。WAF是一種特定的防火墻,旨在識別和阻止Web應(yīng)用程序流量的攻擊。期望防火墻將阻止命令注入攻擊、跨站點腳本攻擊、協(xié)議違規(guī)以及其他針對Web應(yīng)用程序的常見攻擊。

[[319177]]

隨著企業(yè)數(shù)字轉(zhuǎn)型和“安全上云”運動的開展,以及當下疫情加重的Web安全焦慮,越來越多的企業(yè)開始考慮云WAF防火墻產(chǎn)品,使用在云中預(yù)配置的WAF對Web應(yīng)用進行保護。除了專業(yè)WAF廠商外,目前主要的云供應(yīng)商都通過收購或者研發(fā)豐富了自己的WAF產(chǎn)品,它們與服務(wù)商自己的負載均衡器很好地集成在一起。

與傳統(tǒng)硬件WAF相比,除了巨大的價格優(yōu)勢外,云WAF還有以下突出優(yōu)點:

部署簡單,維護成本低

這也是云WAF最有價值和受用戶喜愛的一點,無需安裝任何軟件或者部署任何硬件設(shè)備,只需修改DNS即可將網(wǎng)站部署到云WAF的防護范圍之內(nèi)。

用戶無需更新

云WAF的防護規(guī)則都處于云端,新漏洞爆發(fā)時,由云端負責規(guī)則的更新和維護,用戶無需擔心因為疏忽導致受到新型的漏洞攻擊。

可充當CDN

云WAF在提供防護功能的同時,還同時具有CDN的功能,在進行防護的同時還可以提高網(wǎng)站訪問的速率,CDN通過跨運營商的多線智能解析調(diào)度將靜態(tài)資源動態(tài)負載到全國的云節(jié)點,用戶訪問某個資源時會被引導至最近的云端節(jié)點從而提高訪問速度。

但是,目前國際市場上一些有代表性的云WAF產(chǎn)品(本文主要討論云計算服務(wù)商提供的云WAF),到底“能不能打”?

在Gartner的調(diào)研報告下面,很多企業(yè)安全人員的留言對云WAF也是褒貶不一,一位軟件工程師認為AWS Web Application Firewall是“最可靠的軟件”。但另一位專家稱云WAF有“需要進一步解決的問題”。至于Azure,評論似乎更加復雜。一位架構(gòu)師認為,“仍準備了專用WAF設(shè)備作為備份”,盡管許多人認為它“易于實施和使用”。

由于目前市場上很少有第三方機構(gòu)對云計算服務(wù)商的云WAF產(chǎn)品進行實戰(zhàn)檢測,因此客戶對云WAF性能和功能的認知,有時候可能只是一種對云安全的“蜜汁自信”。云WAF是否可以很好地阻止常見的Web應(yīng)用程序攻擊?

近日,網(wǎng)絡(luò)安全團隊Fraktal針對AWS WAF (Amazon)、AWS WAF (Fortinet)、AZURE WAF (CRS 3.1)、BARRACUDA(梭子魚)WAF-as-a-service四款常見的云服務(wù)商的云WAF產(chǎn)品(服務(wù))做了一個實戰(zhàn)測試,結(jié)果有些令人吃驚。測試內(nèi)容如下:

測試設(shè)置

我們在AWS和Azure中搭建了測試環(huán)境,以測試云WAF。我們的設(shè)置包括以下內(nèi)容:

  • 攻擊者的主機在特定的目標Web主機上執(zhí)行數(shù)千個腳本化的測試用例。我們將有效負載注入了發(fā)往目標主機的HTTP GET和POST請求。
  • 在云容器平臺上,目標Web主機運行容器化自定義Web服務(wù)器——AWS Elastic Container Service ECS或Azure容器實例ACI。該Web服務(wù)器對所有傳入HTTP請求反饋HTTP響應(yīng)代碼“200 OK”。
  • 目標Web主機前置一個具備WAF功能的云負載平衡器——AWS Elastic Load Balancer ELB或Azure Web Application Gateway。
  • 從Azure Marketplace配置的梭子魚WAF即服務(wù)(WaaS),將流量定向到Azure ACI上的目標Web主機。

測試團隊為AWS和Azure內(nèi)部解決方案挑選了云托管版本的商業(yè)WAF產(chǎn)品進行對比測試。四款產(chǎn)品采用的規(guī)則/服務(wù)如下:

  • Azure應(yīng)用程序網(wǎng)關(guān)WAF,使用來自開放式Web應(yīng)用程序安全項目(OWASP)的CRS 3.1規(guī)則
  • 使用梭子魚托管規(guī)則從Azure市場配置的梭子魚WAF即服務(wù)(WaaS)
  • 使用Amazon托管規(guī)則的AWS WAF
  • 使用Fortinet托管規(guī)則的AWS WAF

在Azure云中,總體測試體系結(jié)構(gòu)如下所示,在AWS云上的測試環(huán)境采用了完全相同的設(shè)置。

 

用于測試連接到Azure和AWS云負載平衡器的WAF的高級測試體系結(jié)構(gòu)

測試梭子魚WAF即服務(wù)需要采用備用設(shè)置,測試團隊在Azure云上配置了服務(wù),對前述設(shè)置進行了最小的更改。

 

用于在Azure中測試梭子魚WAF即服務(wù)的高級體系結(jié)構(gòu)

測試團隊使用2月19日當日上述云服務(wù)上可用的托管默認值進行了測試。為了準確模擬用戶使用這些服務(wù)的最常見方式,測試者沒有刪除或添加任何可能影響檢測或阻止攻擊能力的規(guī)則或定義。對于AWS托管規(guī)則,用戶必須選擇規(guī)則組,因為可以同時啟用的規(guī)則組數(shù)量受到限制,測試者選擇了一種可以最好地覆蓋OWASP十大威脅的規(guī)則組合,為測試用例提供最佳保護。

所選規(guī)則組

  • AWS-AWSManagedRulesSQLiRuleSet
  • AWS-AWSManagedRulesLinuxRuleSet
  • AWS-AWSManagedRulesKnownBadInputsRuleSet
  • AWS-AWSManagedRulesCommonRuleSet
  • AWS-AWSManagedRulesPHPRuleSet
  • AWS-AWSManagedRulesAdminProtectionRuleSet

測試用例

為了測試WAF,測試團隊挑選了幾種現(xiàn)實中常見的幾種攻擊和繞過方法,針對自定義Web服務(wù)器通過HTTP發(fā)起這些攻擊,目標服務(wù)器將記錄那些通過WAF的請求。

測試使用的攻擊方法如下(詞條解釋引用自owasp.org):

  • 命令執(zhí)行:通過向應(yīng)用程序中注入命令破壞系統(tǒng)。
  • 服務(wù)器端包含注入(SSI):SSI是Web應(yīng)用程序上存在的指令,用于向HTML頁面提供動態(tài)內(nèi)容。服務(wù)器端包含攻擊允許通過將腳本注入HTML頁面或遠程執(zhí)行任意代碼來利用Web應(yīng)用程序。
  • SQL注入:向客戶端到應(yīng)用程序的輸入數(shù)據(jù)中注入SQL查詢。
  • 路徑遍歷:路徑遍歷攻擊(也稱為目錄遍歷)旨在訪問存儲在Web根文件夾外部的文件和目錄。
  • 格式錯誤的XML文檔:格式錯誤的文檔可用于消耗資源或注入惡意命令。
  • 跨站點腳本(XSS):跨站點腳本(XSS)攻擊是一種注入攻擊,其中,惡意腳本通過網(wǎng)絡(luò)瀏覽器從惡意網(wǎng)站注入到原本良性和可信任的網(wǎng)站中。

這組測試方法代表了針對網(wǎng)站的典型攻擊。測試用例的目的不涉及業(yè)務(wù)邏輯弱點,以及其他可被惡意利用的應(yīng)用邏輯。

檢測結(jié)果

結(jié)果是令人震驚的,除了Azure WAF,其他幾款云WAF的表現(xiàn)都是災(zāi)難性的。

 

四大云WAF測試結(jié)果數(shù)據(jù)(百分比表示被阻止的攻擊比重,數(shù)字越高越好)

肉眼可見,使用CRS 3.1規(guī)則的Azure WAF的攻擊防護成功率遠高于其他三款云WAF產(chǎn)品,也是在整個測試用例集中能可靠執(zhí)行的唯一云WAF服務(wù)。

測試報告的另外一個有趣發(fā)現(xiàn)是,是否使用URL字符編碼,對WAF的安全性能表現(xiàn)影響極大!例如,梭子魚阻止了我們所有未編碼的SSI測試用例,但在編碼時則僅能阻止一半。因此,從攻擊者的角度來看,嘗試使用不同的編碼可能是逃避WAF保護的有效方法。

幾個小事實

AWS托管的WAF在本次測試中的表現(xiàn)最為“寬松”,它會放行以下有效載荷進行攻擊:

 

此外,AWS中托管的Fortinet WAF和Azure中的梭子魚WAF即服務(wù)也都允許這兩個示例。

從有效載荷和拒絕的響應(yīng)來看,很難對WAF的內(nèi)部運作得出許多結(jié)論。有時,WAF的各種行為看上去非?;靵y和搞笑,例如:

  • AWS托管WAF對POST和GET請求的處理方式似乎完全不同。例如這個請求在GET請求中被阻止,但在POST請求中被允許:%2e%2e//etc/passwd。
  • AWS托管WAF能夠阻止有效負載ls-l/var/www/*,但卻又允許有效負載&& ls-l/var/www/*,|ls-l/var/www/*依此類推。
  • 梭子魚WAF即服務(wù)在該字符'是有效載荷的唯一字符時會堅定地阻止該字符,但同時又允許這樣的有效載荷,例如eval('sleep 5');和'whoami。

結(jié)論

結(jié)果表明,云WAF服務(wù)生下來就是不平等的,而且大多數(shù)IaaS云服務(wù)商的WAF服務(wù)還遠遠趕不上第三方方案。接受測試的AWS、Azure和梭子魚中,Azure WAF無疑是贏家,并且是唯一運行良好的服務(wù)。而AWS和梭子魚的產(chǎn)品,對一些最常見的攻擊類型都“睜一只眼閉一只眼”。

如果企業(yè)要在云中構(gòu)建應(yīng)用程序,則應(yīng)留意“選配”的安全服務(wù)是否能夠達到安全需求。雖然購買云WAF可能是一種合規(guī)需要,但用戶應(yīng)當清醒地認識到,云計算廠商的“免費午餐”,有時候安全性能可能與您想象得不太一樣。

聲明

本項云WAF測試由Fraktal網(wǎng)絡(luò)安全團隊的Tuomo、Tommi和Marko完成,其測試結(jié)果僅基于特定測試環(huán)境和配置,除了在特定測試環(huán)境和用例中比較云WAF服務(wù)的相對性能之外,這些測試結(jié)果無意在任何其他上下文應(yīng)用場景中進行解釋或作為用戶選擇產(chǎn)品的依據(jù)。


文章標題:戰(zhàn)五渣?四大云WAF實戰(zhàn)測試險遭團滅
文章路徑:http://m.5511xx.com/article/cdsjodc.html