四家安全厂商因为WAF漏洞撕了起来，你怎么看？

从一个WAF的漏洞说起...



这两天安全圈其实不怎么消停，有四个厂商因为一个WAF漏洞撕了起来，我们来还原一下来龙去脉。

最初我们看到的是这样一份通报，署名为“北京信息安全测评中心”，发布日期是2016年4月6日，主要内容是关于绿盟、启明星辰、铱迅等三家厂商的WAF存在“上传监测Bypass漏洞”，要求各委办局排查并防范。通报中为“依讯”，应该为铱迅。该通报的真伪未经证实。

同时，我们在乌云漏洞平台上，也可以看到该漏洞的信息，提交时间是4月5日。



有意思的是，作为专业安全漏洞平台，也把“铱迅”写成了“依讯”，这是几个意思，看来铱迅的名字太难写了。

官方和民间同时乌龙，这事儿还是挺耐人寻味的。接下来轮到被爆漏洞的厂商出场了，从乌云给出的资讯来看，厂商在4月7号就确认了漏洞。



但三家厂商的公开回应，却迟来了两个周，大概是因为上面的那份来自某测试中心的通告刚刚开始流传的缘故。

1.来自绿盟的回复

4月22日，绿盟科技微信订阅号发出了一篇公告，对该问题进行了情况说明，有意思的是，这条微信是通过“预览”方式发布的，而不是直接群发推送。

回复地址：

http://mp.weixin.qq.com/s?__biz=MjM5ODYyMTM4MA==&mid=502901255&idx=1&sn=2aa0587f8e3ee4bf2a501993194154ea&scene=1&srcid=04221PGYsip5a8gSmeGy4EJs#wechat_redirect

绿盟首先确认了该漏洞存在，并给出了最新升级包，对于不变升级的客户，也给了规避方案。

2.来自启明星辰的回复



从这个回复的行文逻辑来看，应该是启明内部的一个通告：确认漏洞存在，并给出了解决预案。但启明星辰官网官微并无关于此漏洞的相关信息。

3.来自铱迅的回复

最戏剧性的一幕来自铱迅，4月22日，铱迅信息在官网、官微分别发布公告，内容一致：

官网链接：

http://www.yxlink.com/newview.php?cateid=9&newid=3212

官微链接：

http://mp.weixin.qq.com/s?__biz=MzI0MDE5MTQ2MA==&mid=2650045465&idx=1&sn=6deed97f6e0ecf0fd03a40d1fbb7f203&scene=1&srcid=0422QXwbTxxksxabet4AEgkm#wechat_redirect

铱迅认为该漏洞实属“危言耸听”，并对漏洞提出者的立场和身份提出了怀疑，“当日注册、当日提交”，目的性非常明显。

接下来，铱迅把矛头专向了“某华东厂商”，认为该厂商策划了此事。

如此正大光明的质疑友商，铱迅性子这般刚烈的，也是没谁了。那么，铱迅所说的华东某WAF厂商是谁呢？

别急，杭州安恒立刻自动对号入座了，他们也在4月22日发布了一条《郑重声明》

声明链接：

http://mp.weixin.qq.com/s?__biz=MjM5NTE0MjQyMg==&mid=2650452786&idx=2&sn=fa7292324e2e988a6a8dab2cfebf5a41&scene=1&srcid=0424N6igfAoOrrNmcgBAWRoK#wechat_redirect

安恒否认了此事与自己有关，并声明自己的WAF产品未收此漏洞的影响。

至此，事件告一段落。1、这到底是个什么漏洞？

其实绿盟在公告里面已经说的比较清楚，通俗讲就是，某网站采用的代码本身存在BUG，这个BUG会造成WAF过滤上传文件名的功能被绕过，黑客有可能上传恶意文件。换言之，如果使用无BUG的代码，就不会触发该问题。

2、大家都是怎么处理的？

绿盟：承认漏洞存在，并给出处理方案，用预览模式发送公告

启明：承认漏洞存在，并在内部给出处理预案，并未对外发布公告

铱迅：认为只存在文件名绕过，自己的WAF可以基于特征检测木马文件，而非文件名，同时对某厂商动机提出质疑。

安恒：否认与此事有关。

3、为什么三家一起出问题？

从这一点，我们是否可以推测，绿盟、启明、铱迅三家厂商WAF的某些模块或许都使用了共同的开源软件，而那位漏洞发现者 gylinuxer 正是因为知道这个隐情，才会提交改漏洞，而无论乌云还是评测中心的公告里面都提到：“绿盟、启明星辰、铱迅等厂商”，这一个“等”字很有趣，是不是意味着用同样开源平台的其他厂商也存在问题啊？

以上只是猜测！

3、这件事的背后是什么？无论这件事是否背后有人从中作梗，不可否认，当下互联网的高速发展让WEB安全防护的重要性不断提升，WAF（web应用防火墙）在网关类安全产品中的比重也越来越大，各大安全厂商在该产品上的明争暗斗也愈演愈烈。

真理不辩不明，互撕是一件好事，让信息更透明，让网络更安全！

    关注 小黑羊JoinWings