WAFの限界はどこにある？ Assetnoteが「WAF回避」による攻撃テクニックを紹介：セキュリティニュースアラート

AssetnoteはWebアプリケーションファイアウォール（WAF）を回避するためのシンプルなテクニックを発表した。

[後藤大地，有限会社オングス]

　クラウドやソフトウェア、ハードウェアにおけるWebアプリケーションファイアウォール（WAF）の採用が進んでいる。アタックサーフェス全体にWAFを展開する企業も増える中で、WAFを回避する方法を利用した攻撃方法が明らかになった。

　Assetnoteは2024年5月26日（現地時間）、大規模なアタックサーフェスにおいてWAFを回避するテクニックを取り上げた「Modern WAF Bypass Techniques on Large Attack Surfaces」（注1）を発表した。

WAFの限界はどこにある？　WAFバイパスツールとテクニックを紹介

　「Modern WAF Bypass Techniques on Large Attack Surfaces」は、複雑なペイロードを使うのではなくシンプルな方法が効果的だと主張する。さまざまなクラウドサービスに対して同様のテクニックは利用可能だとし、警戒を呼びかけている。

　取り上げられているテクニックは、WAFがリクエストボディーの一定のサイズまでしか検査できないという制限を利用する方法だ。「AWS WAF」「Azure Web Application Firewall」「Akamai WAF」「Cloudflare WAF」など多くのWAFに同様の制限があり、これを利用して攻撃を成功させることができるとしている。

　Assetnoteは具体的なツールとしてHTTPリクエストにジャンクデータを紛れ込ませるテストツール「Burp Suite」のプラグイン「nowafpls」を紹介している。このプラグインを利用してHTTPリクエストに対するジャンクデータのパディングを自動化することでWAFのチェックを回避する。また、Webファジングツール「ffuf」や、侵入テストで利用されるタスク並列実行ツール「ShadowClone」などのツールを使って複数のAPIゲートウェイを利用してリクエストを分散させ、WAFの検知を避ける方法も紹介している。

　他には、WAF自体を利用してWAFを回避する方法や、H2Cスマグリングを利用して内部ルートにアクセスする方法にも触れている。これらのテクニックを利用することでWAFの制限を回避し、ターゲットシステムの脆弱（ぜいじゃく）性を発見することが可能だという。

　Assetnoteの共同創設者であるシュブハム・シャー（Shubham Shah）氏は、10年以上のバグバウンティ経験を持つ。アタックサーフェス全体にWAFを採用する企業が増える中、WAFを回避する攻撃に適応する必要があると強調した。

（注1）「Modern WAF Bypass Techniques on Large Attack Surfaces」