新闻中心

您现在的位置 > 首页 > 新闻中心 > 公司动态

关于网传铱迅WAF存在设计漏洞的情况说明

作者:铱迅信息 发布时间:04/22/16


   2016422日,网上开始流传北京所有的委办局均收到北京信息安全测评中心发出的通知,要求清查并上报绿盟、启明星辰和铱迅WAF的使用情况。并在未经验证的情况下在网络上蔓延。


       



做为专业的网络安全厂商,我们有权利,也有责任对此次事件做出回应。


    4月初,我司接到国家信息安全漏洞共享平台的通报,通报上说铱迅WAF存在上传检测bypass。乌云链接:http://www.wooyun.org/bugs/wooyun-2010-0192638

乌云网站并未对该链接内容进行验证,漏洞提交者上传内容为”waf Bypass --- lgy”,而不是asp木马,铱迅产品对木马检测是基于木马内容及通讯行为拦截,而不是依靠文件名。乌云上漏洞提交报文如下:


我司对此提出了以下几点疑问:


    1、铱迅WAF完全具备web shell上传检测和拦截能力,并非漏洞所描述的“直接上传shell”。

    下面是铱迅WAF早在2014年1月16号发布的功能之一:木马上传检测。



    a) 从截图中看可以看到,检测文件类型,默认就是*,也就是说默认全部文件类型都会检测。这点就足以说明铱迅WAF检测的是文件内容,而非文件类型。 


    b) 铱迅WAF除了可以在木马上传时进行检测之外,对于已经上传到服务器的web shell,一旦被访问,通过服务器返回的报文,同样也可以拦截。



    2、从第一点的描述中,可以看出来。铱迅WAF从2014年开始的WAF版本,完全具备web shell的防护能力的。至于我司接受到的漏洞通报,经过分析,仅仅是文件后缀的绕过。简单来说就是,WAF如果限制某个文件类型不能上传,通过该漏洞可以绕过。但是铱迅WAF的木马上传检测功能已经介绍了,木马检测并非通过文件后缀判断。

    所以乌云上,漏洞描述中的那句“直接上传shell”,实为危言耸听。


    3、对于乌云上的漏洞提出者,疑点重重。作者“gyLinuxer”是注册当天提出该漏洞。乌云网站截图如下:

    



4、乌云报文提交的目标测试IP地址,为四川一所大学IP,该项目铱迅、绿盟、启明星辰为客户入围测试厂商,只有一家某华东地区采用开源mod security开发WAF的厂商在测试中被出局。

    这个在乌云注册一天的账号,要么是小号,要么是其他安全厂商的小号。这么做的目的何在?铱迅、绿盟、启明星辰都是国内WAF市场占用率最高的安全厂商,在未经验证的情况下转发漏洞消息,造成社会恐慌是一种极不负责任的行为。乌云其他的白帽子都对该漏洞的提出质疑如下:



    ID为“伤心的猫猫”问:这叫漏洞??,是啊!我们作为安全厂商也想发出同样的疑问。




    铱迅在这次对广大用户带来的困扰,表示深深的歉意。铱迅欢迎政府、教育、企业客户测试和使用铱迅的网络安全产品,并提出合理的意见。

    铱迅始终以“让网络更安全”为理念,以“让客户更多更安全”为己任,致力成为在网络安全领域具有重大影响的企业。

 


    欢迎关注南京铱迅官方微信,更多安全产品信息尽请期待。