WAFは、細工されたhtmlファイルをブロックまたは検出して難読化できますかPHP script / shell
何が起こったのかというと、友人の会社が古いドットネットヌケフレームワークを使用しています。 'hacked byxxxx'のhtmlページがWebサーバーにアップロードされているのが見つかりました。
調査の結果、脆弱性を悪用してWebシェルがアップロードされ、Webシェルを使用して「ハッキングされたxxxx」のhtmlページが「作成」されたことが判明しました。
したがって、技術的には、htmlファイルが作成され、アップロードされませんでした。アップロードされたのはWebシェルだけでした。
ウェブサイトにはWAFがあります。おそらくCDN(詳細を思い出せない)。
つまり、WAFは、Webシェルを介してファイルの作成/アップロードをブロック/検出できますか、それとも他の日常のアップロード/ダウンロードアクティビティと同じように処理できますか。
さらに、WAFがWebシェルをブロックおよび検出できることを理解しています。しかし、難読化されたものはどうですか?
それはすべて、WAF構成とWAFテクノロジーに依存します。いくつかのWebアプリケーションには本質的にアップロード機能があるため(たとえば、採用WebサイトにCVをアップロードするため)、必要なファイルタイプのみがアップロードされるようにWAFを調整する必要があります。多くのシステム管理者が、ファイルチェックオプションを微調整するのではなく無効にするだけで、アプリケーションが悪意のあるファイルのアップロードに対して脆弱なままになっているのを見てきました。
ほとんどのWAFソリューションは署名ベースです。つまり、攻撃者が独自の逆シェルファイルをコーディングしたり、非常に優れた難読化ジョブを実行したりすると、おそらくWAFはそれを検出しません。このため、WAFだけでなく、安全なコーディングを採用することも重要です。
Webサイトにファイルアップロード機能が本当に必要な場合は、アプリケーションを適切にコーディングする方法を説明している このガイド を確認することをお勧めします。