論文の概要: WAFFLED: Exploiting Parsing Discrepancies to Bypass Web Application Firewalls
- arxiv url: http://arxiv.org/abs/2503.10846v1
- Date: Thu, 13 Mar 2025 19:56:29 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-03-17 13:05:17.112528
- Title: WAFFLED: Exploiting Parsing Discrepancies to Bypass Web Application Firewalls
- Title(参考訳): WAFFLED: Webアプリケーションファイアウォールをバイパスするために、パーシングの相違を爆発させる
- Authors: Seyed Ali Akhavani, Bahruz Jabiyev, Ben Kallus, Cem Topcuoglu, Sergey Bratus, Engin Kirda,
- Abstract要約: Webアプリケーションファイアウォール(WAF)の運用は防御を損なう可能性がある。
我々は、相違点を明らかにすることによって、WAFをバイパスする革新的なアプローチを提案する。
我々は,5つの有名なWAFの1207バイパスを同定し,確認した。
- 参考スコア(独自算出の注目度): 4.051306574166042
- License:
- Abstract: Web Application Firewalls (WAFs) have been introduced as essential and popular security gates that inspect incoming HTTP traffic to filter out malicious requests and provide defenses against a diverse array of web-based threats. Evading WAFs can compromise these defenses, potentially harming Internet users. In recent years, parsing discrepancies have plagued many entities in the communication path; however, their potential impact on WAF evasion and request smuggling remains largely unexplored. In this work, we present an innovative approach to bypassing WAFs by uncovering and exploiting parsing discrepancies through advanced fuzzing techniques. By targeting non-malicious components such as headers and segments of the body and using widely used content-types such as application/json, multipart/form-data, and application/xml, we identified and confirmed 1207 bypasses across 5 well-known WAFs, AWS, Azure, Cloud Armor, Cloudflare, and ModSecurity. To validate our findings, we conducted a study in the wild, revealing that more than 90% of websites accepted both form/x-www-form-urlencoded and multipart/form-data interchangeably, highlighting a significant vulnerability and the broad applicability of our bypass techniques. We have reported these vulnerabilities to the affected parties and received acknowledgments from all, as well as bug bounty rewards from some vendors. Further, to mitigate these vulnerabilities, we introduce HTTP-Normalizer, a robust proxy tool designed to rigorously validate HTTP requests against current RFC standards. Our results demonstrate its effectiveness in normalizing or blocking all bypass attempts presented in this work.
- Abstract(参考訳): Web Application Firewalls(WAF)は、悪意のあるリクエストをフィルタリングし、さまざまなWebベースの脅威に対する防御を提供するために、入ってくるHTTPトラフィックを検査する、必須で人気のあるセキュリティゲートとして導入された。
WAFの侵入はこれらの防衛を侵害し、インターネットユーザーを害する可能性がある。
近年では、通信経路におけるパーシングの不一致が多くのエンティティに悩まされているが、WAFの回避や要求の密輸に対する影響は未解明のままである。
本研究では,高度なファジリング技術を用いて,相違点を発見・活用することで,WAFをバイパスする革新的な手法を提案する。
ヘッダや本体のセグメントといった非メジャーなコンポーネントをターゲットにして、application/json、multipart/form-data、application/xmlといった広く使用されているコンテントタイプを使用することで、よく知られた5つのWAF(AWS、Azure、Cloud Armor、Cloudflare、ModSecurity)にわたる1207のバイパスを特定し、確認しました。
その結果,9割以上のWebサイトがform/x-www-form-urlencodedとmultipart-form-dataを相互に受け入れ,重大な脆弱性とバイパス技術の適用性を強調した。
これらの脆弱性を影響を受けた関係者に報告し、すべての関係者から承認と、一部のベンダーからバグ報奨金の報酬を受け取りました。
さらに、これらの脆弱性を軽減するために、現在のRFC標準に対してHTTPリクエストを厳格に検証するために設計された堅牢なプロキシツールであるHTTP-Normalizerを紹介します。
本研究で示されたすべてのバイパスの試みを正常化またはブロックする効果を示した。
関連論文リスト
- WAFBOOSTER: Automatic Boosting of WAF Security Against Mutated Malicious Payloads [11.845356035416383]
Webアプリケーションファイアウォール(WAF)は、一連のセキュリティルールを通じてWebアプリケーションへの悪質なトラフィックを調べます。
ウェブ攻撃の高度化に伴い、WAFが攻撃を回避しようとする悪質なペイロードをブロックすることはますます困難になっている。
We has developed a novel learning-based framework called WAFBOOSTER。
論文 参考訳(メタデータ) (2025-01-23T16:44:43Z) - Layer-Level Self-Exposure and Patch: Affirmative Token Mitigation for Jailbreak Attack Defense [55.77152277982117]
私たちは、jailbreak攻撃から防御するために設計された方法であるLayer-AdvPatcherを紹介します。
私たちは、自己拡張データセットを通じて、大規模言語モデル内の特定のレイヤにパッチを適用するために、未学習の戦略を使用します。
我々の枠組みは、脱獄攻撃の有害性と攻撃の成功率を減らす。
論文 参考訳(メタデータ) (2025-01-05T19:06:03Z) - Capturing the security expert knowledge in feature selection for web application attack detection [0.0]
目標は、Webアプリケーションファイアウォール(WAF)の有効性を高めることです。
この問題は、機能選択のための教師付き学習と、ワンクラスSVMモデルのトレーニングのための半教師付き学習シナリオを組み合わせたアプローチとして対処される。
実験結果から,提案アルゴリズムによって選択された特徴で訓練されたモデルは,性能の観点から専門家による選択手法よりも優れていた。
論文 参考訳(メタデータ) (2024-07-26T00:56:11Z) - Watch the Watcher! Backdoor Attacks on Security-Enhancing Diffusion Models [65.30406788716104]
本研究では,セキュリティ強化拡散モデルの脆弱性について検討する。
これらのモデルは、シンプルで効果的なバックドア攻撃であるDIFF2に非常に感受性があることを実証する。
ケーススタディでは、DIFF2は、ベンチマークデータセットとモデル間で、パーフィケーション後の精度と認定精度の両方を著しく削減できることを示している。
論文 参考訳(メタデータ) (2024-06-14T02:39:43Z) - TrojFM: Resource-efficient Backdoor Attacks against Very Large Foundation Models [69.37990698561299]
TrojFMは、非常に大きな基礎モデルに適した、新しいバックドア攻撃である。
提案手法では,モデルパラメータのごく一部のみを微調整することでバックドアを注入する。
広範に使われている大規模GPTモデルに対して,TrojFMが効果的なバックドアアタックを起動できることを実証する。
論文 参考訳(メタデータ) (2024-05-27T03:10:57Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - Exposing and Addressing Security Vulnerabilities in Browser Text Input
Fields [22.717150034358948]
ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。
ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。
入力フィールドに2つの脆弱性を発見した。
論文 参考訳(メタデータ) (2023-08-30T21:02:48Z) - A Novel Approach To User Agent String Parsing For Vulnerability Analysis
Using Mutli-Headed Attention [3.3029515721630855]
マルチヘッド・アテンション・ベース・トランスを用いたUAS解析手法を提案する。
提案手法は,異なるフォーマットの様々なUASを解析する上で,高い性能を示す。
解析されたUASを用いて、公開ITネットワークやリージョンの大部分の脆弱性スコアを推定するフレームワークについても論じる。
論文 参考訳(メタデータ) (2023-06-06T14:49:25Z) - EDEFuzz: A Web API Fuzzer for Excessive Data Exposures [3.5061201620029885]
Excessive Data Exposure(EDE)は2019年で3番目に重大なAPI脆弱性である。
このような問題を効果的に発見し、修正する自動化ツールが、研究や業界でもほとんどありません。
EDEFuzzと呼ばれる最初のファジィツールを構築し、EDEを体系的に検出します。
論文 参考訳(メタデータ) (2023-01-23T04:05:08Z) - Measurement-driven Security Analysis of Imperceptible Impersonation
Attacks [54.727945432381716]
本稿では,ディープニューラルネットワークを用いた顔認識システムの実用性について検討する。
皮膚の色,性別,年齢などの要因が,特定の標的に対する攻撃を行う能力に影響を及ぼすことを示す。
また,攻撃者の顔のさまざまなポーズや視点に対して堅牢なユニバーサルアタックを構築する可能性についても検討した。
論文 参考訳(メタデータ) (2020-08-26T19:27:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。