JavaScript enjeksiyonu ile birlikte HTTP parametre kirliliği tekniklerini kullanarak Web Uygulaması Güvenlik Duvarı (WAF) korumalarını atlamak için sofistike bir yöntem.
Bruno Mendes tarafından AWS, Google Cloud, Azure ve Cloudflare dahil olmak üzere büyük satıcıların 17 farklı WAF konfigürasyonunda yürütülen araştırma, mevcut web güvenlik altyapısında endişe verici güvenlik açıkları ortaya koydu.
Teknik, geleneksel güvenlik algılama mekanizmalarından kaçan siteler arası komut dosyası (XSS) saldırılarını yürütmek için WAF motorları ve Web uygulama çerçeveleri, özellikle ASP.NET’in parametre işleme davranışı arasındaki temel ayrıştırma farklılıklarını kullanır.
Key Takeaways
1. Splitting XSS payloads across multiple HTTP parameters defeats WAF detection.
2. Only 3 out of 17 major WAF configurations blocked sophisticated parameter pollution attacks.
3. AI hackbot achieved 100% bypass success, finding simple exploits in seconds.
ASP.NET parametre birleştirmesinden yararlanma
Çığır açan tekniği, yinelenen HTTP parametrelerini işlerken ASP.NET’in özel davranışını kullanır.
ASP.NET, HTTPutity.ParrexeryString () yöntemi aracılığıyla aynı adla birden çok parametreyle karşılaştığında, virgül kullanarak değerlerini birleştirir.
Bu davranış, JavaScript’in virgül operatörü sözdizimi ile birleştirildiğinde sofistike baypaslar için bir fırsat yaratır.
Ethiack’taki araştırmacılar, /? Q = 1 ‘& q = uyarı (1) & q =’ 2 gibi görünüşte iyi huylu bir sorgu dizesinin, asp.net tarafından birleştirilmiş form 1 ′, uyarı (1), ‘2’de nasıl işlendiğini gösterdi.
Bu yük, userInput = ‘user_controlled_data’ gibi bir JavaScript bağlamına eklendiğinde, geçerli JavaScript kodu olur: userInput = ‘1’, uyarı (1), ‘2 ′;.
JavaScript’teki virgül operatörü, sözdizimsel geçerliliğini korurken kötü amaçlı uyarı (1) işlevini etkili bir şekilde yürüterek her ifadeyi sırayla değerlendirir.
Geleneksel WAF’ler bu tekniği tespit etmek için mücadele eder, çünkü web çerçevelerinin birden fazla parametre değerlerini nasıl ayrıştırdığını ve birleştirdiğini anlamak yerine genellikle bireysel parametreleri analiz ederler.
Bruno Mendes, Q = ‘; Uyarı (1)’ gibi basit enjeksiyon girişimlerinden yeni çizgiler kullanan karmaşık parametre kirliliği yüklerine ve q = 1 ‘%0aasd = pencere ve q = def = ”al”+”ert” & q = asd gibi değişken atamalara kadar giderek artan üç karmaşık yükü test etti.[def](1)+’.
WAF güvenlik açıkları keşfedildi
Test sonuçları mevcut WAF koruma mekanizmalarında önemli boşluklar ortaya koydu.
Test edilen 17 yapılandırmanın yalnızca üçü, manuel olarak hazırlanmış tüm yükleri başarıyla engelledi: ModSecurity kurallarına sahip Google Cloud Zırh, Microsoft’un varsayılan kuralı Set 2.1 ile Azure WAF ve tüm açık uygulama yapılandırmaları.
Özellikle, AWS Yönetilen Kurallar, Siber Güvenlik Bulutu Kural Seti ve F5 kural seti dahil olmak üzere birden fazla AWS WAF kural seti, test edilen her yük tarafından tamamen atlandı.
Bypass başarı oranları, yük karmaşıklığı ile dramatik bir şekilde arttı, basit yükler için% 17,6’dan sofistike parametre kirliliği teknikleri için% 70,6’ya yükseldi.
Daha da önemlisi, araştırmacıların otomatik “hackbot”, daha önce esnek WAF konfigürasyonları için başarılı bir şekilde baypas bularak% 100 algılama kaçırma oranına ulaştı.
Örneğin, hackbot, Azure WAF’ın kaçan karakter kullanımında ayrıştırma tutarsızlıklarını sömüren basit bir yük yük testi \\ ‘; uyarısı (1); // kullanılarak atlanabileceğini keşfetti.
Araştırma kritik bir güvenlik paradoksunu vurguladı: Pahalı WAF çözümlerine yatırım yapan kuruluşlar hem sofistike parametre kirliliği saldırılarına hem de şaşırtıcı derecede basit baypas tekniklerine karşı savunmasız kalabilir.
Bulgular, imza tabanlı WAF’lerin bu saldırılara özellikle duyarlı olduğunu gösterirken, makine öğrenimi tabanlı çözümler daha iyi algılama yetenekleri gösterir, ancak yine de sömürülebilir güvenlik açıkları içermektedir.
Bu araştırma, WAF’lerin uygulama ayrıştırma davranışını tam olarak simüle edemeyeceği temel sınırlamanın altını çizerek yetenekli saldırganların sömürebileceği farklı güvenlik açıkları yaratıyor.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches