WAF 无法防护的八种风险

一、目录遍历漏洞

测试用例：Apache 目录遍历漏洞

测试环境搭建：

apt intsall apache2 && cd /var/www/html/ && rm index.html

无法拦截原因： 请求中无明显恶意特征，无法判断为攻击行为

实战数据： 截止发稿日，云图极速版发现 1109 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

二、未授权访问

测试用例：Swagger Api接口未授权访问漏洞

测试环境搭建：

无快速部署方案

无法拦截原因： 请求中无明显恶意特征，无法判断为攻击行为

实战数据： 截止发稿日，云图极速版发现 1020 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

三、备份文件泄露

测试用例：web 目录放置一个文件

测试环境搭建：

 apt install apache2 && touch /var/www/html/www.tar.gz

无法拦截原因： 请求中无明显恶意特征，无法判断为攻击行为

实战数据： 截止发稿日，云图极速版发现 1199 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

四、数据泄露

测试用例：任意信息泄露漏洞

测试环境搭建：

可参考 vulhub ：https://vulhub.org/#/environments/thinkphp/in-sqlinjection/

无法拦截原因： 请求中无明显恶意特征，无法判断为攻击行为

实战数据： 截止发稿日，云图极速版发现 2716 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

五、源站暴露

无法拦截原因： WAF 一般只会拦截来自域名的访问请求，攻击者通过域名解析后的 IP 地址进行直接访问无需经过 WAF ，可实现绕过 WAF 的效果。

实战数据： 截止发稿日，云图极速版发现 2266 家用户在有 WAF 防护的情况下存在公网可利用的同类风险。

六、QPS 超限

无法拦截原因： 部分 WAF 在遇到请求量激增，超出 QPS 处理上限后的请求会直接放行至服务器，无法进行分析和拦截。

实战数据： 截止发稿日，云图极速版还不会给用户 QPS 打超限。

七 、慢速爆破

无法拦截原因： 慢速猜解目录的场景下，只要计数周期内的探测次数小于 WAF 阈值就不会触发告警。

实战数据： 截止发稿日，云图极速版周期性满速探测均可额外发现更多漏洞。

八、未开启拦截功能

无法拦截原因： 部分 WAF 误报太多，不敢开启拦截功能。

实战数据： 截止发稿日，云图极速版已帮助大量用户发现其购买的 WAF 无法开启拦截功能。

写在最后：

统计数据来自于：云图极速版 - SAAS 攻击面发现及管理工具

市场上各家安全产品众多，技术思路各有千秋。破局之战必须拿出一些看家本领。

1. 不依赖开源工具的安全能力，不受制于开源工具的能力上限
2. 正向研发，从用户实际需求出发，解决实际问题
3. 明码标价，不割韭菜