去年去某著名安全公司做技术交流,中间聊了一点云WAF的事情,细思极恐,一直想吐槽,一直没时间,拖到现在。填坑,现在开始吐。
0x01 可怕的云WAF
从攻击者的角度看,云WAF确实可怕:
1、攻击代码被拦截,一些NDay的exp会直接被云WAF拦截,甚至连菜刀的一句话都会被拦截,着实蛋疼。
2、云WAF不仅可以标记网站指纹,还可以标记黑客指纹。
攻击者的常用攻击手法、常用攻击工具、常用IP的攻击特种会被记录,同时其正常上网的记录也会被记录,从而可以形成一个黑客《=》用户的映射。如果不注意隐藏自己的身份,确实容易被抓住踪迹。
3、每个使用云WAF的网站都是安全厂商的蜜罐。从分离出来的攻击代码中,很容易抓取到各种0Day。
0x02 可怕的云WAF
云WAF确实能有效提升安全性,不仅黑客攻击可以被拦截,连DDoS也不在话下。还记得1月18号央行网站遭到DDoS?第二天就切换到加速乐了,DDoS流量被清洗,一些乱开的扫描器和EXP代码也都被拦截。
但是用了云WAF是否真的就高枕无忧了?
不是我唱衰云WAF。。。是云WAF真心太可怕,我都不敢想。。。
先说一点题外话。有个朋友在互联网某广告分析公司做数据分析。有天发了个某个网站的连接过来,打开后直接登录了一个人的账号,对,是SID泄漏了。前几天类似这个问题《统计网站泄漏QQ认证信息无需QQ帐号密码登录QQ》,连数据统计公司都能获取到此类数据,那云WAF呢?
云WAF是获得了网站所有的流量!包括登录信息在内的所有流量!还是明文的!!你敢想?可以说这些云WAF公司持有互联网最大的裤子。。。
那些站长们,尤其是一些互联网金融的比如神马人人贷、火币网还是什么的,还有一些经营性的网站,真不怕自己的数据被卖了,真就这么放心啊?。。反正我是不放心。。。
从此以后,远离各种使用了云WAF的网站,必要的时候使用VPN,使用随机ID的GoAgent;每一段时间修改一次密码,关键账户使用唯一密码,尽量在不确定的网络环境中登录关键账户。保护自己,从吐槽开始。
留言交流