C
月内に
HTTPの分塊転送(Chunked Transfer Encoding)を利用して、WAF(Webアプリケーションファイアウォール)の検知を回避する手法について…
📌 一言でいうと
HTTPの分塊転送(Chunked Transfer Encoding)を利用して、WAF(Webアプリケーションファイアウォール)の検知を回避する手法について解説しています。攻撃者がリクエストを複数のチャンクに分割して送信することで、WAFがペイロード全体を正しく解析できず、SQLインジェクションなどの攻撃が通過する可能性があります。本記事では、具体的に「安全狗」WAFを対象としたバイパス手法が実証されています。
🏢影響範囲
WAFを導入しているWebアプリケーションを運用する組織。特に、HTTPチャンク転送を適切に処理・検査できない古いWAFや設定不備のある環境。
✅該当時の対応
WAFの設定でHTTPチャンク転送(Transfer-Encoding: chunked)を適切に正規化し、再構成した状態で検査するように設定すること。また、WAFに依存せず、アプリケーション側でプリペアドステートメントなどの根本的な対策を講じること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】WAFの分塊転送(Chunked Transfer Encoding)による検知回避手法について
お疲れさまです。WAFのバイパス手法に関する情報共有です。
■ 概要
HTTPの分塊転送(Chunked Transfer Encoding)を悪用し、リクエストを分割して送信することでWAFの検知を回避し、SQLインジェクション等の攻撃を透過させる手法が報告されています。WAFがチャンク化されたペイロードを適切に再構成して検査できない場合に発生します。
■ 影響範囲
- HTTPチャンク転送を適切に正規化・検査できないWAF製品および設定の環境
- 特に古いバージョンのWAFや、POST内容の検査設定が不十分な環境
■ 対応手順
1. 利用中のWAFにおいて、Transfer-Encoding: chunked ヘッダーを含むリクエストが適切に正規化され、検査対象となっているか設定を確認してください。
2. WAFのシグネチャおよびファームウェアを最新バージョンに更新してください。
3. WAFに依存せず、アプリケーション側でプリペアドステートメントの利用など、根本的な脆弱性対策を徹底してください。
■ 参考情報
- FreeBuf: WAF 分块传输绕过
対応優先度: 高(速やかな設定確認と対策を推奨)
お疲れさまです。WAFのバイパス手法に関する情報共有です。
■ 概要
HTTPの分塊転送(Chunked Transfer Encoding)を悪用し、リクエストを分割して送信することでWAFの検知を回避し、SQLインジェクション等の攻撃を透過させる手法が報告されています。WAFがチャンク化されたペイロードを適切に再構成して検査できない場合に発生します。
■ 影響範囲
- HTTPチャンク転送を適切に正規化・検査できないWAF製品および設定の環境
- 特に古いバージョンのWAFや、POST内容の検査設定が不十分な環境
■ 対応手順
1. 利用中のWAFにおいて、Transfer-Encoding: chunked ヘッダーを含むリクエストが適切に正規化され、検査対象となっているか設定を確認してください。
2. WAFのシグネチャおよびファームウェアを最新バージョンに更新してください。
3. WAFに依存せず、アプリケーション側でプリペアドステートメントの利用など、根本的な脆弱性対策を徹底してください。
■ 参考情報
- FreeBuf: WAF 分块传输绕过
対応優先度: 高(速やかな設定確認と対策を推奨)
Subject: [Security Advisory] WAF Bypass via Chunked Transfer Encoding
Hi all,
This is a security notification regarding a technique used to bypass Web Application Firewalls (WAF).
■ Overview
It has been reported that attackers can bypass WAF detection by using HTTP Chunked Transfer Encoding. By splitting the request payload into multiple chunks, the attacker can evade detection if the WAF fails to properly reassemble and inspect the full payload, potentially allowing SQL injection and other attacks to pass through.
■ Scope
- WAF products or configurations that do not properly normalize and inspect HTTP chunked transfer requests.
- Environments with outdated WAF versions or insufficient POST content inspection settings.
■ Recommended Actions
1. Verify that your WAF is configured to properly normalize and inspect requests containing the 'Transfer-Encoding: chunked' header.
2. Ensure that WAF signatures and firmware are updated to the latest available versions.
3. Implement defense-in-depth measures at the application level, such as using prepared statements, to mitigate vulnerabilities regardless of WAF presence.
■ Reference
- FreeBuf: WAF 分块传输绕过
Priority: High (Prompt review and remediation are recommended)
Hi all,
This is a security notification regarding a technique used to bypass Web Application Firewalls (WAF).
■ Overview
It has been reported that attackers can bypass WAF detection by using HTTP Chunked Transfer Encoding. By splitting the request payload into multiple chunks, the attacker can evade detection if the WAF fails to properly reassemble and inspect the full payload, potentially allowing SQL injection and other attacks to pass through.
■ Scope
- WAF products or configurations that do not properly normalize and inspect HTTP chunked transfer requests.
- Environments with outdated WAF versions or insufficient POST content inspection settings.
■ Recommended Actions
1. Verify that your WAF is configured to properly normalize and inspect requests containing the 'Transfer-Encoding: chunked' header.
2. Ensure that WAF signatures and firmware are updated to the latest available versions.
3. Implement defense-in-depth measures at the application level, such as using prepared statements, to mitigate vulnerabilities regardless of WAF presence.
■ Reference
- FreeBuf: WAF 分块传输绕过
Priority: High (Prompt review and remediation are recommended)