聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
安全咨询公司 Kloudle 的研究人员发现,只需构造大小超过8KB的POST请求,即可绕过谷歌云平台 (GCP) 和 Amazon Web Services (AWS) web app 防火墙。
Kloudle 公司指出,“在这种情况下 Cloud Armor 的默认行为可导致恶意请求绕过 Cloud Armor 并可直接触及底层应用程序。”
WAFs 旨在防护基于 web 的攻击活动如SQL注入和跨站脚本攻击,在这些攻击中,甚至是底层应用程序也仍然易受攻击。
绕过该防护可导致攻击者在攻击托管在web上的应用程序时更进一步,前提是目标端点接受HTTP POST请求的“方式可触发底层漏洞”。Kloudle 公司在发布的技术文章中指出,“攻击者可构造超过Cloud Armor 限制的8KB 大小的请求主体利用该漏洞,payload 会在请求主体的第8192个字节/字符之后出现。”
谷歌 Cloud Armor WAF 配置一系列来自OWASP ModSecurity Core Rule Set 的预配置防火墙规则。
用户可配置自定义Cloud Armor 规则拦截 HTTP 请求(请求主体大于8192个字节),从而拦截潜在的攻击向量,这一通用规则将被进一步更改为接受定义的异常。
尽管AWS 的WAF也存在基本一样的问题,但Kloudle 认为谷歌云平台 (GCP) 未能向客户强调这一问题。研究人员认为其它基于云的WAF也存在类似的限制。
Kloudle 公司指出,“工作正在进行中。截至目前未知我们已经见到 Cloudflare、Azure 和 Akamai 的请求主体限制问题。有的厂商限制是8KB,有的是128KB。”
目前谷歌和AWS尚未就此事做出回应。
Kloude 公司的一名代表对云服务提供商必须平衡安全性和安全的情况表示理解,但指出他们应当做更多的工作教育用户。这名代表解释称,“边界安全软件很难。在这种情况下8KB大小的限制可让云提供商稳定地处理其它WAF规则。云提供商可做更多的工作提高开发人员的意识,可默认增加该规则并允许在需要时禁用。按照安全责任共享模型,他们将安全使用服务的责任放在了用户身上。”
代码卫士试用地址:https://codesafe.qianxin.com/#/home
开源卫士试用地址:https://oss.qianxin.com
https://portswigger.net/daily-swig/google-waf-bypassed-via-oversized-post-requests
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):以8KB大小的POST请求绕过谷歌web应用防火墙
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论