WAFバイパスのためのシンプルな手法とBurpプラグインを研究者がリリース | Codebook|Security News
Codebook|Security News > Articles > Threat Report > WAFバイパスのためのシンプルな手法とBurpプラグインを研究者がリリース

Threat Report

AWS

Silobreaker-CyberAlert

WAF

WAFバイパスのためのシンプルな手法とBurpプラグインを研究者がリリース

佐々山 Tacos

佐々山 Tacos

2024.05.29

WAFバイパスのためのシンプルな手法とBurpプラグインを研究者がリリース

Securityonline[.]info – MAY 27, 2024

WAFにおける重大な制約を利用して防御の目をすり抜けるというペンテスターやバグハンター向けのWAFバイパス手法を、熟練のセキュリティ研究者でAssetnoteの共同創立者でもあるShubham Shah氏が共有。同氏は「シンプルなバイパスこそ最良のバイパス」という持論のもと、緻密に作成された複雑なペイロードに頼るのではなく、シンプルで効果的なメソッドを用いた手法を紹介している。

Shah氏がWAFをバイパスする上で主に着目したのは、大半のWAFに潜む設計上の重大な欠陥。それは、ボディ部に情報を含むHTTPリクエスト(POST、PUT、PATCHなど)を処理する際、WAFは概して、パフォーマンス上の制約があるゆえに限られた量のボディコンテンツしか検査しないというもの。つまり、規定の限度量を超えた分のボディコンテンツに関しては、検査が省略されることになる。例えばAWS WAFの場合、以下のようなリミットが設定されている。Shah氏によれば、HTTPリクエストにジャンクデータをパディングして限度量を超える容量にすることで、悪意あるペイロードにWAFをバイパスさせることが可能になるという。

<AWS WAFの例>

  • Application Load BalancerおよびAWS WAF向けのものに関しては、最大8 KBまで検査検査可能
  • CloudFront、API Gateway、Amazon Cognito、App Runner、Verified Access向けのものに関しては、最大64 KBまで検査可能

Shah氏はこのバイパス手法を簡略化するため、新たなツール「nowafpls」もリリースしている。このツールは、HTTPリクエストへ自動的にジャンクデータを注入する性能を持つBurp Suite用のプラグイン。XMLの場合は「<!–a*bytes–>」といったコメント、JSONの場合は「”a”:”a*bytes”」といったキーと値のペアなど、コンテンツのタイプに応じて適切なジャンクデータを注入可能だという。nowafplsはAssetnoteのGitHubページからダウンロードできる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ