はじめに
マルウェア分析とリバースエンジニアリングの専門家としての私は、常に最新の手法と戦略を探しています。このアーティクルでは、ウェブアプリケーションファイアウォール(WAF)の世界に潜入し、特に大規模な攻撃対象に対して、その防御を効果的に突破する方法を探っていきます。
現代の攻撃対象とWAFの現状
近年、企業によるクラウドソフトウェアとハードウェアWAFの採用が大幅に増加しています。多くの組織がその全体の攻撃対象にWAFを展開しており、バグ賞金ハンターやセキュリティ研究者にとって新たな課題となっています。しかし、講演者は聴衆に絶望させるつもりはなく、WAFを効果的に突破する方法がたくさんあると述べています。
WAF突破の考え方
講演者のWAF突破の方法は、複雑なペイロードや入力変更を使うのではなく、シンプルで直接的な手法に焦点を当てています。WAFの弱点と制限を利用する方法を紹介し、聴衆にセキュリティテストやバグ賞金活動ですぐに使えるプラクティカルな方法を提供します。
WAFのリクエスト本文サイズ制限の回避
多くのWAFには、検査するリクエスト本文の最大サイズが設定されています(一般に8KB~128KB)。講演者は、有害なペイロードの後に無害なデータを付加することで、WAFのサイズ制限を回避する方法を実演します。この自動化のためにBurp Suiteプラグイン「no WAF please」を公開しています。
WAF保護下のホストをファジングする手法
講演者は、Burp SuiteのIPローテーションプラグインやFireproツールを使ってWAFを回避する方法について説明します。さらに「Shadow Clone」ツールを紹介し、コストパフォーマンスの良いサーバレス環境でWAF保護下の攻撃対象に対する大規模なファジングとコンテンツ探索を行う方法を示します。
その他のWAF回避手法
講演者はさらに、WAFの機能自体を利用したり、HTTP/2クリアテキスト(h2c)スマグリングなどの手法についても言及しています。ただし後者は一般的なWAFプロバイダに対して効果的でない可能性があると注意しています。結局のところ、複雑なペイロード変更に頼るのではなく、多様なツールセットと柔軟な発想が重要だと強調しています。
まとめ
Shubham Shahによる本プレゼンテーションは、大規模な攻撃対象における現代のWAF防御を突破する上で非常に有益な洞察とプラクティカルな手法を提供しています。これらのセキュリティ対策の制限と脆弱性を理解することで、セキュリティ研究者やバグ賞金ハンターは重要な脆弱性を発見し、軽減する機会を大幅に向上させることができます。講演者のシンプルで実践的なアプローチ、そして有用なツールの公開により、ウェブアプリケーションセキュリティに関心のある人すべてが必見の内容となっています。
主なポイント:
- 企業の攻撃対象全体にクラウドベースのWAFが採用されており、セキュリティ研究者に新たな課題を提示している。
- 講演者は複雑なペイロードや入力変更ではなく、シンプルで実践的なWAF回避手法を提唱している。
- リクエスト本文サイズ制限を利用することで、WAFの検査を回避できる。
- IPローテーション、Firepro、Shadow Cloneなどのツールを使えば、WAF保護下の大規模な攻撃対象に対するファジングやテストが可能。
- WAF自体の機能を利用したり、HTTP/2スマグリングなどの手法も場合によっては有効。
- 多様なツールセットと柔軟な発想が、現代のWAF防御を突破する上で不可欠。