一、目錄遍歷漏洞

測試用例：Apache 目錄遍歷漏洞

測試環(huán)境搭建：

apt intsall apache2 && cd /var/www/html/ && rm index.html

無法攔截原因： 請求中無明顯惡意特征，無法判斷為攻擊行為

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版發(fā)現(xiàn) 1109 家用戶在有 WAF 防護的情況下存在公網(wǎng)可利用的同類風(fēng)險。

二、未授權(quán)訪問

測試用例：Swagger Api接口未授權(quán)訪問漏洞

測試環(huán)境搭建：

無快速部署方案

無法攔截原因： 請求中無明顯惡意特征，無法判斷為攻擊行為

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版發(fā)現(xiàn) 1020 家用戶在有 WAF 防護的情況下存在公網(wǎng)可利用的同類風(fēng)險。

三、備份文件泄露

測試用例：web 目錄放置一個文件

測試環(huán)境搭建：

 apt install apache2 && touch /var/www/html/www.tar.gz

無法攔截原因： 請求中無明顯惡意特征，無法判斷為攻擊行為

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版發(fā)現(xiàn) 1199 家用戶在有 WAF 防護的情況下存在公網(wǎng)可利用的同類風(fēng)險。

四、數(shù)據(jù)泄露

測試用例：任意信息泄露漏洞

測試環(huán)境搭建：

可參考 vulhub ：https://vulhub.org/#/environments/thinkphp/in-sqlinjection/

無法攔截原因： 請求中無明顯惡意特征，無法判斷為攻擊行為

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版發(fā)現(xiàn) 2716 家用戶在有 WAF 防護的情況下存在公網(wǎng)可利用的同類風(fēng)險。

五、源站暴露

無法攔截原因： WAF 一般只會攔截來自域名的訪問請求，攻擊者通過域名解析后的 IP 地址進行直接訪問無需經(jīng)過 WAF ，可實現(xiàn)繞過 WAF 的效果。

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版發(fā)現(xiàn) 2266 家用戶在有 WAF 防護的情況下存在公網(wǎng)可利用的同類風(fēng)險。

六、QPS 超限

無法攔截原因： 部分 WAF 在遇到請求量激增，超出 QPS 處理上限后的請求會直接放行至服務(wù)器，無法進行分析和攔截。

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版還不會給用戶 QPS 打超限。

七 、慢速爆破

無法攔截原因： 慢速猜解目錄的場景下，只要計數(shù)周期內(nèi)的探測次數(shù)小于 WAF 閾值就不會觸發(fā)告警。

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版周期性滿速探測均可額外發(fā)現(xiàn)更多漏洞。

八、未開啟攔截功能

無法攔截原因： 部分 WAF 誤報太多，不敢開啟攔截功能。

實戰(zhàn)數(shù)據(jù)： 截止發(fā)稿日，云圖極速版已幫助大量用戶發(fā)現(xiàn)其購買的 WAF 無法開啟攔截功能。

寫在最后：

統(tǒng)計數(shù)據(jù)來自于：云圖極速版 - SAAS 攻擊面發(fā)現(xiàn)及管理工具

市場上各家安全產(chǎn)品眾多，技術(shù)思路各有千秋。破局之戰(zhàn)必須拿出一些看家本領(lǐng)。

1. 不依賴開源工具的安全能力，不受制于開源工具的能力上限
2. 正向研發(fā)，從用戶實際需求出發(fā)，解決實際問題
3. 明碼標(biāo)價，不割韭菜