[Tips]WAF(Web Application Firewall) and Code Review

by axis
2008-06-25
http://www.ph4nt0m.org

最近对于这两种方法的争论挺多的。

实际上，在我思想中，企业搞web安全，这是两个主攻方向了。(PCI标准也这么要求)

我习惯上把WAF归纳为过滤层，就是在应用的架构中有这么一个 filter-tier, 他起的作用是过滤和净化危险输入。在架构中的位置可以是多样化的：单独的硬件、apache mod、应用里面捕获输入；

WAF如果开启阻断功能的话，就可以起到虚拟补丁的功能。在这个意义上来说，可以减小程序员的工作量。

而WAF的最大阻力则是：
1. 误报
2. 对性能的影响
3. 稳定性

而AppSec这些公司推的WAF都属于硬件产品。包括mod-security等，他们都自己有一套漏洞规则，然后卖给甲方。这也是他们产品难推的原 因，尽管你吹的天花乱坠，但实际上敢开启block模式的估计不会有多少，实际上jeremiah grossman自己也承认了，并引用了一段话

“When you know nothing, permit-all is the only option. When you know something, default-permit is what you can and should do. When you know everything, default-deny becomes possible, and only then.”


要了解所有的东西，就要从一开始就上WAF，对于很多半路出家搞安全的网站来说，这显然是很难接受的。

所以真正要实现好的WAF，只能是自己开发，自己部署，通过“学习模式”，来消除误报。而且自己的东西，是可控的，至少从心理上来说是可控的。

WAF的模式是有一定的作用，但不是万能的，也没厂商吹嘘的那么玄乎。这玩意治标不治本，无法带给你的网站安全； 只有有人不断专业维护的WAF，才能从一定程度上说可以带给你安全。这就是我一直在强调的： 安全是一个持续的过程。

与WAF对应的另外一个方向是code review。 code review也有很多方向，不是随便从网上抄个规范来就行的。 同样的，code security review可以做为sdl中的一个核心过程，在软件工程中发扬光大。 每个企业都需要找到自己代码的特色，从而定制出符合自己特色的代码规范，和代码漏洞扫描工具。 这些思想也是我在 《安全幻想曲2008》中曾经强调过的，可惜从CB的反馈看来，真正能看懂我那篇paper背后意思的人的恐怕不多。

code review 是一个治本的过程，也需要长期坚持。不过review code的成本会比较大，有人力也有时间的投入，还有更多的沟通成本。code review的方向 应该是尽可能降低对个人经验的依赖，这就需要有优秀的规范和规则。

在应用安全里， WAF和code review应该是相辅相成的。但是我看现在不少厂商为了牟利，鼓吹WAF的优越性，让WAF走上了歪路，企业冤枉钱花了，却只是一个花架子的安全，一戳就破。如何正确应用，才是甲方安全人员需要思考的问题。

先瞎扯这么多，这两个话题可以讲很深，以后再慢慢一一侃来。