【第三弹】华为云安全新品发布短评系列——深度检测,让攻击者无处隐藏

举报
gagalau 发表于 2020/06/05 11:07:01 2020/06/05
【摘要】 按:华为云年中安全新品发布会已于5月28日下午3点在线直播,在此,我们推出发布会发表的一系列技术产品的解读,帮助客户了解如何利用华为云的安全服务,弥补传统IT安全的不足,助力业务安全合规高效的发展。直播回放观看请点击文末链接。 “绕过”是一种常见的攻击方式。其指通过各种方式“绕开”安全防护产品的检测,而直接攻击安全防护产品保护的内网、服务器等资源。网上分享安全防护产品绕过方法的文章层出不穷,...

按:华为云年中安全新品发布会已于5月28日下午3点在线直播,在此,我们推出发布会发表的一系列技术产品的解读,帮助客户了解如何利用华为云的安全服务,弥补传统IT安全的不足,助力业务安全合规高效的发展。直播回放观看请点击文末链接。

 

“绕过”是一种常见的攻击方式。其指通过各种方式“绕开”安全防护产品的检测,而直接攻击安全防护产品保护的内网、服务器等资源。网上分享安全防护产品绕过方法的文章层出不穷,绕过手段不断更新、变化多端,给即使部署了安全防护产品的企业也带来了很大的挑战。

对网站的攻击,也存在绕过问题。Web应用防火墙(简称WAF)可以阻断针对网站和应用的可能的应用层攻击,包括SQL注入、跨站脚本、命里注入等。然而攻击者为了让攻击不被WAF检测,会利用各种编码变形以伪装请求。那么,将这些变形后的攻击暴露出其“原形”,是WAF应该具备的基本能力。

华为云年中安全新品发布会,华为云WAF发布了最新的深度检测能力,覆盖20多种编码的还原能力,来防止攻击者绕过WAF。这里使用4个具体攻击场景,来介绍华为云WAF的深度检测能力。

场景1 :防不住的命令注入?

对于Web网站来说,命令注入攻击是最难防范攻击之一。为什么难防?我们用一个在安全夺旗比赛中查看flag文件内容的命令为例,/bin/cat flag这种特征比较明显,很容易检测,但由于shell支持glob 模式,/?i?/??t fl*这种通配形式也可以成功执行。除此之外,还有/b'i'n/c"a"t flag, /bin/ca[s-t], /b$@in/c$@at 等等变形形式。

如果同样的手法用在命令注入的场景,那么恶意请求就可以千变万化。如果没有对这些数据进行有效的还原,那么不管WAF使用的是常规的规则引擎、语义引擎、还是AI引擎,都很难有效识别这种攻击。

这种场景的一个完美解决方案是在WAF中植入shell语义解析引擎。这个方案在《大型互联网企业安全架构》一书中有较为详细的介绍。然而在商业化产品中,还需要解决高并发的生产环境中的性能问题。华为云WAF在编码还原的专利技术基础上,实现了轻量化的shell语义解析。能够成功识别上述各种命令注入的变形攻击,让网站无需担心命令注入变形攻击带来的威胁。

场景2 :normalize带来的同形字安全问题

了解Web安全开发的小伙伴都知道,对于一个存在XSS跨站脚本攻击漏洞的接口,提交<script>alert(123)</script>一类的请求,就可能触发强制性弹窗。而如果把123换成cookie等敏感信息,就会带来很高的安全风险。那么如果攻击者提交的是如下图这样变形后的数据,会发生什么呢?

幸运的是,对于相当一部分业务,提交这样的数据,并不会有什么安全风险。但是如果业务使用了不恰当的数据处理,那么就会存在安全问题。Java安全编码标准》一书中提到,如果代码对用户输入数据做normalize处理,那么所有的安全校验,应该在normalize之后再做检查,否则就会导致各种安全问题。但由于多数安全防护产品和服务是部署在业务逻辑处理的前面,对这类攻击防护可能存在不足。除Java外,PythonphpJavaScript等语言,也提供了标准化的normalize函数方法,因此这类问题还是较为普遍的。

域名也存在类似的攻击行为。比如有的域名和证书服务商,允许用户注册类似 www.waf.com www.wąf.com 这样的域名和证书,那么后者就很容易仿冒前者,让用户不容易认出两者的差别,实现钓鱼攻击。知名的域名和证书服务器商Verisign在今年3月份就被披露存在这样的漏洞,目前已经完成了修复

遗憾的是除了钓鱼攻击以外,这种字符的变形几乎覆盖到所有的Web攻击类型。同样在今年3月份,有国外安全攻防爱好者公开了在normalize场景下,发布的目录穿越、SQL注入、跨站脚本、命令注入、任意文件上传等验证攻击样本能够实现攻击。按照作者的说法,这种变形能绕过大多数的安全防护产品。

华为云WAF在编码还原的专利技术基础上,实现了对上千个同形字符的标准化处理,让网站业务无需担心同形字符带来的安全防护盲区。

场景3:多层多种嵌套还原

再给大家介绍下深度检测的循环混合嵌套防护能力。当一个攻击者发出类似下面图片中的数据请求时,华为云WAF的深度检测引擎会完成:实体替换->URL Decode-> Javascript Parse转义还原等处理,最终得到<a href="javascript:alert(15)">Click me</a> 的弹窗脚本数据,并精准识别出来它是一个潜在的XSS攻击。

                                             

以上过程,涉及三层、三种不同的编码方式。实际上我们支持接近20种不同类型的多层、混合编码还原的处理。

场景4:其他编码通道

此外,华为云WAF的深度检测还支持Web开发中广泛使用的Data Uri Schemabase64编码通道的数据检测、UTF7编码数据检测等,防止XSS跨站脚本攻击。

 

直播回放观看链接:https://www.huaweicloud.com/about/live/launch/1.html

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200