شعار زيفيرنت

تحويل استعلامات SQL يتجاوز أمان WAF

التاريخ:

Black HAT ASIA 2022 - استخدم فريق من الباحثين الجامعيين التعلم الآلي الأساسي لتحديد الأنماط التي تفشل جدران حماية تطبيقات الويب الشائعة (WAFs) في اكتشافها على أنها ضارة ، ولكن لا يزال بإمكانها توصيل حمولة المهاجم ، كما قال أحد الباحثين في عرض تقديمي في مؤتمر أمن بلاك هات آسيا في سنغافورة يوم الخميس.

بدأ الباحثون من جامعة Zhejiang في الصين بطرق شائعة لتحويل هجمات الحقن لاستهداف قواعد بيانات تطبيقات الويب باستخدام لغة الاستعلام الهيكلية الشائعة (SQL). بدلاً من استخدام بحث القوة الغاشمة للتجاوزات المحتملة ، أنشأ الفريق أداة ، AutoSpear ، تستخدم مجموعة من التجاوزات المحتملة التي يمكن دمجها باستخدام إستراتيجية طفرة مرجحة ثم اختبارها لتحديد فعالية التجاوزات في التهرب من الأمان من عروض WAF كخدمة.

نجحت الأداة في تجاوز - وفقًا للقياس بمعدل سلبي خاطئ - جميع WAFs السبعة المختبرة المستندة إلى السحابة مع مجموعة متنوعة من النجاح ، من مستوى منخفض قدره 3٪ لـ ModSecurity إلى نسبة عالية تبلغ 63٪ لخدمات Amazon Web Services و Cloudflare's WAFs قال Zhenqing Qu ، طالب دراسات عليا من جامعة Zhejiang وعضو في فريق AutoSpear.

قال: "أظهرت دراسات الحالة إمكانات [الأداة] ، لأن توقيعات الكشف لم تكن قوية بسبب نقاط الضعف المختلفة". "مجرد إضافة تعليقات أو مسافة بيضاء يمكن أن يتجاوز بعض WAFs ، لكن الطفرة الأكثر فاعلية تعتمد على WAFs محددة."

تعد جدران حماية تطبيقات الويب طريقة شائعة للدفاع عن البرامج السحابية الهامة وخدمات الويب من الهجمات ، وتصفية هجمات التطبيقات الشائعة ومحاولات إدخال أوامر قاعدة البيانات ، والمعروفة أيضًا باسم حقن SQL (SQLi). وجدت دراسة أجريت عام 2020 ، على سبيل المثال ، أن 4 من كل 10 متخصصين في مجال الأمن يعتقدون ذلك 50٪ من هجمات طبقة التطبيقات التي استهدفت تطبيقاتها السحابية تجاوزت WAF. تركز الهجمات الأخرى على تعريض WAF من خلال تفتيشها لحركة المرور.

In عرضهم، ركز الفريق من جامعة Zhejiang على طرق تحويل الطلبات باستخدام 10 تقنيات مختلفة لأساليب الطلب الأربعة الشائعة: طلبات POST و GET ، إما باستخدام ترميز JSON أم لا. وجد الباحثون أن الأنواع الأربعة المختلفة من الطلبات تمت معالجتها بنفس الطريقة من قبل أربعة بائعي WAF مختلفين ، بينما تعامل الآخرون مع المدخلات بشكل مختلف.

من خلال تغيير الطلبات بشكل منهجي بمجموعات مختلفة من التقنيات العشر - مثل التعليقات المضمنة ، واستبدال المسافات البيضاء ، واستبدال الحشو العام (أي "10 = 1") بالآخرين (مثل ، "1 <2") - وجد الباحثون مجموعة من التحولات التي كان أداءها أفضل مقابل كل من WAFs السبعة المختلفة.

صرح الباحثون في شرائح العرض التقديمي "[C] التي تجمع بين طرق الطفرات المتعددة ، وهي أكثر فاعلية في تجاوز حلول WAF-as-a-service السائدة بسبب تواقيع الكشف الضعيفة للمطابقة الدلالية ومطابقة التعبير العادي".

لا تزال هجمات حقن SQL تشكل خطرًا كبيرًا للعديد من الشركات. صنفت OWASP Top-10 Web Security Risks فئة الحقن للثغرات الأمنية على رأس قائمة المخاطر في 2013 و 2017 ، و باعتبارها الخطر رقم 3 في عام 2021. يتم إصدار القائمة كل أربع سنوات تقريبًا ، وتستخدم أكثر من 400 فئة واسعة من نقاط الضعف لتحديد أهم التهديدات لتطبيقات الويب.

بدأ فريق البحث بإنشاء تطبيقات ويب تحتوي على نقاط ضعف محددة ، ثم استخدم نهجها لتحويل عمليات الاستغلال المعروفة إلى طلب فريد لن يكتشفه WAF.

عادةً ما تركز جدران الحماية الخاصة بتطبيقات الويب على ثلاثة مناهج واسعة النطاق. على المستوى المعماري ، يمكن للمهاجمين إيجاد طرق للتحايل على WAF والوصول المباشر إلى الخادم الأصلي. على مستوى البروتوكول ، يمكن لمجموعة متنوعة من التقنيات استخدام أخطاء أو عدم تطابق في افتراضات التشفير ، مثل طلب HTTP للتهريب، لتجاوز WAFs. أخيرًا ، على مستوى الحمولة ، يمكن للمهاجمين استخدام مجموعة متنوعة من تحويلات التشفير لخداع WAF لفشلها في اكتشاف هجوم ، مع الاستمرار في إنتاج طلب صالح من وجهة نظر خادم قاعدة البيانات.

صرح الفريق في عرضهم التقديمي بأن التحولات سمحت للهجمات بأن تكون ناجحة في أي مكان من 9٪ من الوقت إلى ما يقرب من 100٪ من الوقت ، اعتمادًا على WAF وتنسيق الطلب. في إحدى الحالات ، وجد الباحث أن مجرد إضافة حرف سطر جديد ، "/ n" ، يتجاوز إحدى خدمات WAF الرئيسية كخدمة.

AWS ، Cloudflare تتأثر

أبلغ فريق البحث عن نقاط الضعف لجميع موفري WAF السبعة: AWS و Cloudflare و CSC و F5 و Fortinet و ModSecurity و Wallarm. قال Zhenqing إن Cloudflare و F5 و Wallarm قاموا بإصلاح مشكلاتهم. كما قدم الفريق للبائعين أنماط تجاوز يمكن استخدامها لاكتشاف أكثر أنواع التحويلات شيوعًا.

وقال: "لا يزال الأربعة الآخرون يعملون معنا ، حيث لا يمكن تصحيح العيوب بسهولة".

بقعة_صورة

أحدث المعلومات الاستخباراتية

بقعة_صورة