تکنیک جدید، دیوارهای آتش وب (WAF) را دور زده و وب‌سایت‌ها را آسیب‌پذیر می‌کند

محققان امنیت سایبری از کشف یک تکنیک جدید و نگران‌کننده برای دور زدن فایروال‌های برنامه وب (WAF) پرده‌برداری کرده‌اند که بسیاری از محصولات برتر بازار را تحت تأثیر قرار می‌دهد. این روش به مهاجمان اجازه می‌دهد تا با ارسال درخواست‌های دستکاری‌شده، لایه امنیتی WAF را خنثی کرده و حملات کلاسیک مانند تزریق SQL (SQLi) و اسکریپت بین سایتی (XSS) را بر روی وب‌سایت‌هایی که ظاهراً محافظت‌شده هستند، اجرا کنند. این یافته بار دیگر تأکید می‌کند که اتکای صرف به WAF برای امنیت وب‌سایت کافی نیست.

جزئیات تکنیک چیست؟

• نام تکنیک: این روش که به طور کلی به عنوان "ابهام‌سازی با استفاده از کامنت" (Comment-based Obfuscation) توصیف شده، از نحوه تفسیر کامنت‌ها در زبان SQL بهره می‌برد.

• نوع تهدید: دور زدن فایروال برنامه وب (WAF Bypass)

• تأثیر: بی‌اثر کردن قوانین فیلترینگ WAF و باز کردن راه برای اجرای حملات تزریق SQL بر روی پایگاه داده وب‌سایت.

• سیستم‌های تحت تأثیر: گزارش‌ها نشان می‌دهد این تکنیک بر روی WAFهای معروفی مانند Cloudflare, Akamai, AWS WAF, Imperva و دیگران مؤثر بوده است.

• روش نفوذ: ارسال پی‌لود (Payload) مخرب SQL که با استفاده از سینتکس کامنت‌های تو در تو، از دید WAF پنهان می‌ماند.

تکنیک چگونه عمل می‌کند؟

1. ساخت پی‌لود مخرب: مهاجم یک پی‌لود حمله تزریق SQL استاندارد را ایجاد می‌کند.

2. ابهام‌سازی با کامنت: سپس، با استفاده از سینتکس کامنت در SQL (مانند /* و */)، بخش‌هایی از کد مخرب را درون کامنت‌های تو در تو قرار می‌دهد.

3. ارسال درخواست به WAF: درخواست دستکاری‌شده به سرور ارسال می‌شود. بسیاری از موتورهای WAF، به دلیل پیچیدگی در تجزیه (Parsing) کامنت‌های تو در تو، قادر به شناسایی کد مخرب پنهان‌شده در آن نیستند و درخواست را سالم تشخیص داده و به سرور اصلی عبور می‌دهند.

4. اجرا در پایگاه داده: وب سرور و پایگاه داده، این کامنت‌ها را به درستی پردازش کرده و کد SQL مخرب اصلی را استخراج و اجرا می‌کنند که این امر منجر به نشت اطلاعات یا اجرای دستورات غیرمجاز می‌شود.

وضعیت فعلی تهدید

این تکنیک توسط محققان امنیتی به طور عمومی منتشر شده و کدهای اثبات مفهوم (PoC) آن نیز در دسترس قرار گرفته است. این به آن معناست که هر مهاجمی با دانش فنی متوسط می‌تواند از آن برای حمله به وب‌سایت‌های محافظت‌شده توسط WAFهای آسیب‌پذیر استفاده کند. اگرچه هنوز گزارش گسترده‌ای از حملات با این روش منتشر نشده، اما در دسترس بودن PoC زنگ خطر را برای مدیران وب‌سایت‌ها به صدا درآورده است.

چگونه از خود محافظت کنیم؟

• اصلاح کد برنامه (مهم‌ترین اقدام): آسیب‌پذیری اصلی که حمله تزریق SQL را ممکن می‌سازد، باید در کد منبع وب اپلیکیشن برطرف شود. استفاده از Prepared Statements و Parameterized Queries بهترین روش برای جلوگیری از این نوع حملات است.

• به‌روزرسانی قوانین WAF: مدیران باید اطمینان حاصل کنند که آخرین مجموعه قوانین (Rule sets) را از ارائه‌دهنده WAF خود دریافت و فعال کرده‌اند. بسیاری از شرکت‌ها پس از کشف چنین تکنیک‌هایی، قوانین جدیدی برای مقابله با آن منتشر می‌کنند.

• دفاع در عمق (Defense-in-Depth): امنیت نباید تنها به یک لایه (WAF) متکی باشد. استفاده از سیستم‌های تشخیص نفوذ (IDS/IPS) و نظارت دقیق بر لاگ‌های پایگاه داده می‌تواند به شناسایی حملات موفق کمک کند.

• سخت‌گیری در پیکربندی: تنظیمات WAF را در بالاترین سطح امنیتی ممکن قرار دهید، حتی اگر به قیمت افزایش هشدارهای کاذب (False Positives) تمام شود و سپس به تدریج آن را تنظیم کنید.

چرا این تهدید مهم است؟

فایروال‌های برنامه وب (WAF) یکی از اصلی‌ترین و پراستفاده‌ترین ابزارهای دفاعی در برابر حملات وب هستند و بسیاری از سازمان‌ها با اعتماد به آن‌ها، هزینه‌های گزافی را برای تهیه و نگهداری‌شان متقبل می‌شوند. کشف یک تکنیک که می‌تواند به طور همزمان بسیاری از این محصولات برتر را دور بزند، این اعتماد را به شدت زیر سؤال می‌برد. این تهدید نشان می‌دهد که امنیت یک مفهوم مطلق نیست و حتی پیشرفته‌ترین ابزارها نیز می‌توانند نقاط ضعف داشته باشند. مهم‌تر از آن، این موضوع بر یک اصل بنیادین امنیت تأکید می‌کند: هیچ لایه دفاعی نمی‌تواند جایگزین کدنویسی امن و رفع آسیب‌پذیری‌ها از مبدأ شود.