1、 WAFWAF漏洞挖掘及安全架构漏洞挖掘及安全架构 主讲人:主讲人:黄登黄登 服云科技 安全攻防实验室 关于.这个男人: Winger: EMAIL : Twitter : WingerFree Weixin : GNUSEC No White No Black No Green Hat WAF =? WhFk WTK WAF 0 x1 绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕NI Y的 0 x2 R B 0 x3 业务 OR 安全 ? 0 x4 Matrix = Revolution 一个无法加规则的漏洞 PHP-DDOS CVE-2015-4024 规则不是万能的,恰恰是万万不能的. (单
2、一防御远远不够) 如何做一个RB 高手呢? 来叔叔教你 0 x1 Bingo vs Rule breaker CVE-2015-4024 由 LiuShusheng 2015-04-03 提交 PHP TEAM。 漏洞通过提交特定规则的POST上传数据包,触发服务器PHP容器的资源过度消耗, 最终造成DDoS攻击。 一周之内各大安全厂商相继推出新规则, 新补丁。以宣“天下太平”。 一切看似安然无恙。 PHP DDOS 漏洞原理- 然然 并并 卵卵 通杀的快感通杀的快感-指哪打哪指哪打哪 第一次第一次RB 核心思路就是用rnrn将form-data的body part分成header和body,
3、header再用n分割,如果数量大于10的话就直接拦截下来,返回447错误。通过这样的方式,临时抵御这次的DOS漏洞 HOW FIX?HOW FIX? 0 x1 : 影响正常业务 10行太少, 遇到论坛之类的多文件上传的环境就影响正常使用了. 0 x2: RULES DDOS 随着匹配行数的增加, 匹配函数的复杂度以及正则表达式的复杂度都会成倍增长。 最终导致过滤器本身占用系统资源过多(ReDoS). 问题来了问题来了 第二次第二次RB Regex BooM (正则表达式拒绝服务攻击 ) ReDos 产生的原因在于正则表达式在执行的过程中, 存在过度滥用计算机资源的情况. 最终导致匹配器性能低
4、下, 甚至HANG住业务. 0 x1: 很久以前, 很久以后一直会有的一个洞. 这是一个普遍存在此问题. 0 x2: 架构 - 策略 - 规则复杂度. 在架构无法弥补的情况下, 规则越复杂就陷的越深. 0 x3: 安全性 VS 业务量 0 x2 R B 之之 ReDos ReDos 表达式特性 分组重叠分组重叠 (d+)*$ 组内和组外存在匹配重叠 (d*)*$ (d+|s+)*$ 平行表达式重叠 (d|dd)+$ 组内各表达式之间存在重叠 (d|d?)+$ 如何成为RB高手? 一: 你的长得丑. 人丑鬼怕. 二: 你的长得比我丑 三:修炼大法。 人人都爱 FUZZ 测试中常见策略测试中常见策
5、略 策略 1: BLIND FUZZ (传统的基于结果的FUZZ) 策略 2: SLICE FUZZ (基于容器特性的FUZZ+组合) 模糊测试框架模糊测试框架 基于功能分块 分块 难点: 1. 容器必须足够精确(不能用扩展,只能强插) 2. 生成器必须足够灵活,(推荐试用 的语言, 这里使用 ) 3. 分析器采用模板式加载 (一套模板对应一种环境,模板本身就是个) 监控点: 1. 各容器之间的传入和传出数据(每一个监控点独立负责自己的配置模板) 2. 执行时间 (性能的波动有可能代表了隐藏的漏洞或者是) 3. 容器返回的错误数据 4. 定时保存测试数据样本, 以便还原。 分析器: . 记录有
6、效数据(根据特征码和模板) 分析异常标识,推送给生成器脏字队列 (此过程需可人工切换, 验证标识准确性) 实现概述实现概述 生成器原型生成器原型 之 OverFlow 0 x3 业务 OR 安全 ? 不 给予 业务的安全都是耍流氓 宁可错杀一千,不可放过一人 云盾防御与封杀规则 明确识别一个有攻击行为(次内),即封锁此此至少一个小时无论大小! 那么问题来了: 大怎么办,连坐真的好吗? 轮询手机运营商 封? 轮询 封? 。 当连坐效应遇到 你只能“呵呵” 云防御新局面 网络数据分析能力愈加强大. Matrix时代. 联动防御所向披靡 单一防御的片面性与困难性 安全业务调度的复杂性和成本增加(比起传统的端安全) 进退维谷 安全的纬度决定了高度. 立体防御, 动态对抗, 端云合一,方为正道. 传统端安全防御思路的局限性: 片面, 独立.,非动态,不顺应业务. 新时代的安全防御架构: 端点收集阻断+网关流量清洗+云中心数据深度分析安全态势把控. 多点采样, 多层分析, 多纬预警. 联动防御, 定制服务, 高大上的安全工程师文化. 0 x4 Matrix Revolution Thank You 我们一直都在
