类编程的WAF(上)

一、复杂的需求

WAF (WEB 应用防火墙) 用来保护 WEB 应用免受来自应用层的攻击。作为防护对象的 WEB 应用,其功能和运行环境往往是复杂且千差万别的,这导致即便防御某个特定的攻击方式时,用户需求也可能是细致而多样的。

以最基本的 SQL 注入 (以下简称注入) 为例。注入攻击当然是要防范的,但用户可能还有以下需求:

  • 某个域名或某些特定的 URL 不需要注入检查
  • 对来自外网的注入访问进行拦截,来自内网的注入访问只记录不拦截
  • 对特定的请求参数名或特定特征的请求参数不进行注入检查
  • 非工作时段不仅拦截还阻止该用户一段时间访问
  • 对 admin 等管理账号登录后的访问不进行注入检查
  • 对于只记录不拦截的请求,附加一个特别的请求头发往应用
  • 对某些 URL 的注入访问记录下 HTTP 请求的全部报文
  • 将 HTTP 响应码为 500 的注入的日志紧急度设为 alert
  • ...

以上需求,用户可能只提出一项,也可能提出多项,还可能是不同的逻辑组合或更多的条件和动作。这还仅仅是防注入这项基本功能,如果有更多的应用防护需求,比如:

一个已登录的非内网用户在 10 秒钟连续访问 POST 方法的页面 (非 AJAX 数据) 达到 5 次,则在 10 秒内延迟这个用户的响应时间 0.5 秒;如果在未来 10 秒内继续访问 POST 方法页面 3 次,则强制用户登出并阻止登录 30 秒;如果一个用户 1 天内这种情形发生 5 次,则产生一条严重级别的告警。

我们该如何描述满足这些需求的功能呢?

WAF是否能够设计得足够灵活,使得实施人员通过现场配置就能实现这个需求?

二、规则的局限性

大部分应用防火墙的配置以规则为核心。

传统意义上的规则,其实质形式是独立的一行行文本,每行文本有固定的结构/字段,可以独立地描述出一个功能。对用户而言,书写规则就是设置其中的参数和选项。这种规则的好处是简单明了,用户甚至可以在图形化界面中完成规则的配置,但其弱点是不足以描述复杂的情形。

图1

以防注入功能为例,如果它只有一个开启或关闭的开关选项,或只能简单地以区分站点来使用不同策略,显然不能满足前述的复杂需求。而企图打造一个预先设定又包罗万象的规则,则完全超出了“规则”的范畴,是不可能完成的任务。

追溯一下,用规则来描述防护功能始自于网络防火墙。网络防火墙的检查对象是 TCP / IP 协议诸元,三/四层网络协议相对来说是简单清晰的,用五元组就可以概括它们,以五元组为对象写一些规则就能够很好地实现防护。

图2

但是,WEB 应用是怎么写成的?WEB 应用是用 Java / PHP / Python 等编程语言写成的。就像不可能用“规则"来书写 WEB 应用一样,试图良好地对应用进行防护,也不可能通过传统的“规则"来实现——无论写多少条规则。

三、大家一起来编程?

既然应用是编程的,那么应用防火墙的配置可否也用编程的方式来实现?

以下是一个通用语言实现的例子,它的主功能是对请求参数进行注入检查,检查时会排除指定名字的参数,而且对不同来源访问者 (外网或内网) 产生不同的日志和动作:

for arg in ARGS:
    if arg['name'] in ['__utm', '__token']:
        return PASS

    if detect_sqli(remove_comment(url_decode(arg['value']))):
        if is_private_address(REMOTE_ADDRESS):
            log('SQLi and PASS')
            return PASS
        else:
            log('SQLi and BLOCK')
            return BLOCK
return PASS

功能是实现了,但看上去有点复杂。让非程序员去写这样一段代码难免强人所难 (比如对集合类型数据的遍历获取),而且完全不可能做到可视化。更重要的是,这仅是代码片段 (其实就是函数),真的要整合起来使用,还面临很多编程方面的问题,如:

  • 除错和容错:
    各种语法错误和链接错误,比如使用了不存在的变量或方法。
  • 批量控制:
    怎样实现全局和批量的改变,比如想让 WAF 全局进入只记录模式。
  • 作用域:
    每个代码片段有自己的作用域,如果想影响其他代码片段应该怎么做?如何定义变量作用域?
  • 与预置防护集的关系:
    WAF 必然自带预置的防护集,用户书写的代码与预置防护集的关系。
  • 参数的设置:
    应用相关的可配置参数怎么处理,是作为常量写在程序里 (难以维护) 还是另作一个配置文件 (程序变得更复杂)?

以上问题,如果都通过临时修改代码 (全局替换或加注释) 来实现,则代码将变得不可维护。事实上,由于代码的无限可能性,甲写的代码乙很难理解。为解决上述问题,必须要有一套程序框架,而框架本身的编写、配置和使用又成了问题。

有没有一种方法,不需要使用编程语言,而又能灵活满足复杂的需求呢?

四、类编程的WAF

天存信息的类编程 WAF,用数据结构来表达程序思想,让普通的技术支持人员也能够写出足够复杂和灵活的安全策略。

{
	"if": {
		"variables": "ARGS",
		"transform": "urlDecodeUni",
		"operator": "detectSQLi"
	},
	"then": {
		"verdict": {
			"action": "block",
			"log": true
		}
	}
} 

可见,这时的“规则”已经不是一行文本了,而是具有代码特征的一个函数实现

类编程的 WAF 具有以下与编程语言相似的特性:

  • 无限嵌套的 if / the / else 条件判断
  • 完整的 and / or / not 逻辑运算符
  • 对集合 / 数组成员的遍历运算
  • 变量包含多种数据类型
  • 支持变量的宏扩展引用
  • 用户自定义变量和表达式赋值
  • 预置及可设置不同生命期的全局变量
  • 用户书写任意多样的动作
  • 函数返回值灵活控制流程
  • 运行时改变其他函数行为

而这灵活内涵的表面,却能够用规范的模式 (schema) 来约束,使得写出的类程序易读且统一,甚至做到可视化呈现。

posted @ 2021-06-17 17:33  天存信息  阅读(56)  评论(0编辑  收藏  举报