SQLクエリの変換はWAFセキュリティをバイパスします from darkreading.com

BLACK HAT ASIA 2022 —大学の研究者チームは、基本的な機械学習を使用して、一般的なWebアプリケーションファイアウォール（WAF）が悪意のあるものとして検出できないが、攻撃者のペイロードを配信できるパターンを特定したと、研究者の1人が木曜日にシンガポールで開催されるBlackHatAsiaセキュリティ会議。
このツールは、偽陰性率で測定すると、テストされた7つのクラウドベースのWAFをすべて正常にバイパスし、ModSecurityの最低3％からAmazon Web ServicesおよびCloudflareのWAFの最高63％までさまざまな成功を収めました。
たとえば、2020年の調査によると、セキュリティ専門家の10人に4人が、クラウドアプリケーションを標的としたアプリケーション層攻撃の50％がWAFをバイパスしていると考えていました。
調査チームは、特定の脆弱性を持つWebアプリケーションの作成から始め、そのアプローチを使用して、既知のエクスプロイトをWAFがキャッチしない固有の要求に変換しました。
最後に、ペイロードレベルでは、攻撃者はさまざまなエンコーディングトランスフォーメーションを使用して、データベースサーバーの観点から有効なリクエストを生成しながら、WAFをだまして攻撃の検出に失敗させることができます。
チームはプレゼンテーションで、変換により、WAFとリクエスト形式に応じて、9％の確率からほぼ100％の確率で攻撃を成功させることができました。