WAF漏洞挖掘及安全架构.PDFVIP

WAF漏洞挖掘及安全架构 主讲人：黄登 服云科技安全攻防实验室 关于...这个[男人]: Winger ： EMAIL : free.winge@ Twitter : WingerFree Weixin : GNUSEC No White No Black No Green Hat WAF = ? Wh@Fk WTK WAF ~~ 0x1 绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕绕NI Y的 0x2 R B 0x3 业务 OR 安全 ? 0x4 Matrix = Revolution 0x1 Bingo vs Rule breaker  一个无法加规则的漏洞 PHP-DDOS CVE-2015-4024  规则不是万能的,恰恰是万万不能的. (单一防御远远不够)  如何做一个RB 高手呢? 来叔叔教你 PHP DDOS  CVE-2015-4024 由 LiuShusheng 2015-04-03 提交 PHP TEAM。  漏洞通过提交特定规则的POST上传数据包，触发服务器PHP容器的资源过 度消耗， 最终造成DDoS攻击。  一周之内各大安全厂商相继推出新规则， 新补丁。以宣“天下太平”。  一切看似安然无恙。 然 并 卵  漏洞原理 通杀的快感--指哪打哪 第一次RB HOW FIX?  核心思路就是用\r\n\r\n将form-data的body part分成header和body ，header再用\n分割， 如果数量大于10的话就直接拦截下来，返回447错误。通过这样的方式，临时抵御这次的 DOS漏洞 问题来了 0x1 : 影响正常业务 10行太少, 遇到论坛之类的多文件上传的环境就影响正常使用了. 0x2: RULES DDOS 随着匹配行数的增加, 匹配函数的复杂度以及正则表达式的复杂 度都会成倍增长。 最终导致过滤器本身占用系统资源过多(ReDoS). 第二次RB