几个月以前我决定去探查一下Web应用层防火墙(WAF)是否真正有用,或者它仅仅是一个花费巨大的披着华丽外衣的废物,只是使得审计人员用来逃脱职责。
当然,WAF的卖家总是一成不变的告诉我们他们的产品是如何如何的好,有多少多少的客户在使用他们的产品,但是,这不是最好的方式来了解真实的情况。我也在与一些最终用户的谈论中获知了一些真实的情况,甚至这种方式也不是一个发现安全工具价值的最好方式。并不是所有的使用者有很好的观察法和内部控制方式去测试这些工具的效用,而且由于一些政治和技术方面的原因,很多人并不能够以最优的方式去部署这些工具。
现在,我从用户那里开始,和我的一些渗透测试朋友们一起检测这些工具。一个初级测试者不可能理解一个工具的整个价值(因为他们没有付出高度的注意力在规则/管理这些问题上),一个好的测试者会深刻的认识到一个安全工具在他们生命中的重要性。
最后的结论是,正确的使用才能够发挥WAF的价值,一定程度上能够在外部提供一个安全的防护范围,但这也不是一劳永逸的方式。也就是相当于沙鼠抵御APT攻击的价值,下面是一些细节:
● WAF能够很好的防护框架漏洞(例如运行未打补丁的wordpress),自动化(脚本)攻击,甚至只是在配置特定应用规则的情况下就实现了这些功能(尽管几乎没有人能够真正以这种方式部署)。
● WAF对于常见的XSS/SQL注入的防护能力一般。研究者们通常发现对于常规攻击比较困难的情况,只要借助各种有效因素(尤其是基于WAF的app程序),再花费一些时间一般都能成功溢出。借助大量的应用知识,越好的配置WAF,攻击就越困难。同时,研究溢出的时间增加会提高攻击者的成本,这也许会减低攻击者花时间去研究app程序的可能,同时也就提高防御他们的可能性。可是,如果有人铁了心的渗透并有渊博的知识,没有WAF能够阻止他们。
● 安全产品经常提供很多的重要的分析价值,它们经常提供比跟踪/状态数据包更好的信息来理解站点上发生的事情。
● WAF对逻辑缺陷无能为力(除非你手动编码/配置),更不用说XSS/SQL注入。
● WAF并不像销售宣传中说的那样使用简单。哎,这真让人吃惊。再一次,它就和沙鼠一样。
从某方面来说,我写的这些不值一提。这个承诺有很多价值的工具被我们误用了,但是如果使用得当,它也能够提供一定的功用。
只是不要让人们觉得买它就是在浪费钱,确定你知道如何更好的使用它来得到你想要得到的。
