您現在的位置 > 首頁 > 新聞中心 > 業界動态

關于銥迅WAF存在設計漏洞的情況說明

作者: 發布時間:04/22/16

   2016年4月22日,網上開始流傳北京所有的委辦局均收到北京信息安全測評中心發出的通知,要求清查并上報綠盟、啟明星辰和銥迅WAF的使用情況。并在未經驗證的情況下在網絡上蔓延。


做為專業的網絡安全廠商,我們有權利,也有責任對此次事件做出回應。

         4月初,我司接到國家信息安全漏洞共享平台的通報,通報上說銥迅WAF存在上傳檢測bypass。

烏雲鍊接:http://www.wooyun.org/bugs/wooyun-2010-0192638。

烏雲網站并未對該鍊接内容進行驗證,漏洞提交者上傳内容為”waf Bypass --- lgy”,而不是asp木馬,銥迅産品對木馬檢測是基于木馬内容及通訊行為攔截,而不是依靠文件名。烏雲上漏洞提交報文如下:


 

我司對此提出了以下幾點疑問:

  1、銥迅WAF完全具備web shell上傳檢測和攔截能力,并非漏洞所描述的“直接上傳shell”。

下面是銥迅WAF早在2014年1月16号發布的功能之一:木馬上傳檢測。


 

        a) 從截圖中看可以看到,檢測文件類型,默認就是*,也就是說默認全部文件類型都會檢測。這點就足以說明銥迅WAF檢測的是文件内容,而非文件類型。

        b) 銥迅WAF除了可以在木馬上傳時進行檢測之外,對于已經上傳到服務器的web shell,一旦被訪問,通過服務器返回的報文,同樣也可以攔截。


        2、從第一點的描述中,可以看出來。銥迅WAF從2014年開始的WAF版本,完全具備web shell的防護能力的。至于我司接受到的漏洞通報,經過分析,僅僅是文件後綴的繞過。簡單來說就是,WAF如果限制某個文件類型不能上傳,通過該漏洞可以繞過。但是銥迅WAF的木馬上傳檢測功能已經介紹了,木馬檢測并非通過文件後綴判斷。

所以烏雲上,漏洞描述中的那句“直接上傳shell”,實為危言聳聽。


  3、對于烏雲上的漏洞提出者,疑點重重。作者“gyLinuxer”是注冊當天提出該漏洞。烏雲網站截圖如下:

4、烏雲報文提交的目标測試IP地址,為四川一所大學IP,該項目銥迅、綠盟、啟明星辰為客戶入圍測試廠商,隻有一家某華東地區采用開源mod security開發WAF的廠商在測試中被出局。

        這個在烏雲注冊一天的賬号,要麼是小号,要麼是其他安全廠商的小号。這麼做的目的何在?銥迅、綠盟、啟明星辰都是國内WAF市場占用率最高的安全廠商,在未經驗證的情況下轉發漏洞消息,造成社會恐慌是一種極不負責任的行為。烏雲其他的白帽子都對該漏洞的提出質疑如下:

ID為“傷心的貓貓”問:這叫漏洞??,是啊!我們作為安全廠商也想發出同樣的疑問。

 


        銥迅在這次對廣大用戶帶來的困擾,表示深深的歉意。銥迅歡迎政府、教育、企業客戶測試和使用銥迅的網絡安全産品,并提出合理的意見。

  銥迅始終以“讓網絡更安全”為理念,以“讓客戶更多更安全”為己任,緻力成為在網絡安全領域具有重大影響的企業。

 

歡迎關注南京銥迅官方微信,更多安全産品信息盡請期待。