Siber güvenlik araştırmacıları, HTTP parametre kirliliği ile birleştirilmiş JavaScript enjeksiyonu kullanarak Web Uygulama Güvenlik Duvarlarını (WAFS) atlamak için modern web güvenlik altyapısındaki kritik güvenlik açıklarını ortaya çıkardılar.
Bir otonom penetrasyon testi sırasında yapılan araştırma, saldırganların katı güvenlik konfigürasyonlarına rağmen kötü amaçlı kod yürütmek için WAF motorları ve web uygulama çerçeveleri arasındaki ayrıştırma farklılıklarını nasıl kullanabileceğini ortaya koydu.
Güvenlik açığı, son derece kısıtlayıcı bir WAF ile korunan bir ASP.NET uygulamasının test edilmesi sırasında ortaya çıktı.
Temel alanlar arası komut dosyası (XSS) güvenlik açığı basit olsa da, tek tırnaklarla sınırlandırılan bir JavaScript dizesinden çıkmayı içerirken, geleneksel XSS yükleri güvenlik sistemi tarafından etkili bir şekilde bloke edildi.
Bu senaryo, araştırmacılara klasik bir zorluk sundu: savunma mekanizmaları geleneksel sömürü yöntemlerini aktif olarak önlediğinde sömürülebilirliği göstermek.
Atılım, ASP.NET’in benzersiz parametre işleme davranışını anlamaktan geldi. Birden fazla HTTP parametresi aynı adı paylaştığında, ASP.NET, httputity.parexeryString () yöntemi aracılığıyla virgül kullanarak değerlerini birleştirir.
Bu belgelenmiş Microsoft Davranış, “aynı sorgu dizesi parametresinin birden fazla oluşumunun, her değeri ayıran bir virgülle tek bir giriş olarak listelendiğini” belirtir.
Ethiack analistleri, bu ayrıştırma tutarsızlığını, geçerli JavaScript yürütmeyi sürdürürken WAF tespitini atlamanın anahtarı olarak tanımladılar.
Saldırı, JavaScript’in virgül operatörünü kullanır ve bu da birden fazla ifadenin tek bir ifade içinde sırayla yürütülmesine izin verir.
Kötü niyetli kodları birden çok parametreye dağıtarak, araştırmacılar tek tek iyi görünen ancak yürütülebilir JavaScript oluşturmak için birleştirilen yükler oluşturabilirler.
Örneğin, sorgu dizesi /?q=1'&q=alert(1)&q='2 hale gelmek 1',alert(1),'2 ASP.NET işlemeden sonra, savunmasız bağlamlara eklendiğinde uyarı işlevini yürüten sözdizimsel olarak geçerli JavaScript oluşturma.
Teknik analiz ve WAF kaçırma mekanizmaları
Araştırma metodolojisi, büyük bulut sağlayıcıları ve güvenlik satıcıları arasında 17 farklı WAF konfigürasyonunun test edilmesini ve tespit yeteneklerindeki önemli farklılıkları ortaya çıkarmayı içeriyordu.
.webp)
Testte, her biri kaçırma tekniklerinde artan sofistike olduğunu gösteren üç farklı yük türü kullanılmıştır.
Çerçeve parametresi kirlilik davranışı:-
| Çerçeve | Giriş Örneği | Çıktı Sonucu |
|---|---|---|
| Asp.net | Param = val1¶m = val2 | param = val1, val2 |
| ASP | Param = val1¶m = val2 | param = val1, val2 |
| Golang Net/HTTP | Param = val1¶m = val2 | param =[‘val1′,’val2’] |
| Python – Zope | Param = val1¶m = val2 | param =[‘val1′,’val2’] |
| Node.js | Param = val1¶m = val2 | param = val1, val2 |
En açıklayıcı bulgu, yük karmaşıklığı analizinden ortaya çıktı. Basit enjeksiyon denemeleri, test edilen WAF’lere karşı sadece% 17,6 bypass oranı elde ederken, sofistike parametre kirliliği teknikleri% 70,6 başarı oranlarına ulaştı.
Araştırma, WAF güvenlik açığının üç temel nedenini tanımladı: ilişki anlayışı olmadan bireysel parametre analizi, çerçeveye özgü ayrıştırma simülasyonu eksikliği ve işlevsel olarak eşdeğer ancak yapısal olarak farklı yükleri kaçıran geleneksel XSS imzalarına güvenmek.
.webp)
Yük etkinliği analizi:-
| Yük türü | Örnek | Başarı oranı |
|---|---|---|
| Basit enjeksiyon | q=';alert(1),' |
% 17.6 |
| Kirlilik + noktalı virgül | q=1'+1;let+asd=window&q=def="al"+'ert' |
% 52.9 |
| Kirlilik + Çizgi Molaları | q=1'%0aasd=window&q=def="al"+"ert" |
% 70.6 |
Otonom test sistemleri, sözde güvenli konfigürasyonlar için daha önce bilinmeyen baypasları keşfederek dikkate değer bir uyum gösterdi.
Özellikle, Azure WAF yük yükü kullanılarak yenildi test\\';alert(1);//WAF desen eşleşmesi ve JavaScript yorumu arasında kaçan karakter kullanımında ayrıştırma tutarsızlıklarından yararlanan.
Araştırma, WAF’lerin çerçeveye özgü ayrıştırma mantığı ve bağlama duyarlı analiz yeteneklerini uygulamak için kritik ihtiyacın altını çizmektedir, ancak bu tür geliştirmeler üretim ortamlarındaki performansı önemli ölçüde etkileyecektir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.