Coraza WAF中ARGS正则表达式匹配的区分大小写问题解析

问题背景

在Web应用防火墙(WAF)的实现中，HTTP请求参数的匹配是一个核心功能。Coraza WAF作为一款开源的WAF解决方案，在处理HTTP请求参数(ARGS)时，其正则表达式匹配的区分大小写特性存在一个值得注意的行为差异。

问题现象

当使用Coraza WAF的规则引擎配置基于正则表达式的参数匹配规则时，例如配置如下规则：

SecRule ARGS:/^Key/ "my-value" "id:101,phase:1,deny,status:403,msg:'ARGS:key matched.'"

开发者期望这条规则能够匹配包含"Key"参数(注意首字母大写)且值为"my-value"的HTTP请求。然而实际测试发现，当发送如下请求时：

http://localhost:9000/index.html?ID=123&Key=my-value

WAF并未如预期般拦截该请求，而是返回了200 OK响应，这表明规则匹配失败。

技术分析

参数键的存储方式

问题的根源在于Coraza WAF内部处理HTTP请求参数键时的存储方式。当前实现中，所有参数键在被存储到集合中时都被转换为小写形式。这种设计导致了以下问题：

1. 原始参数"Key"被存储为"key"
2. 当规则尝试使用正则表达式/^Key/进行匹配时，实际上是在与"key"进行匹配
3. 由于大小写不匹配，正则表达式无法正确命中

正则表达式匹配的预期行为

从安全规则编写的角度考虑，HTTP协议本身是区分大小写的，参数键的大小写形式可能承载着不同的语义。例如：

• "Key"和"key"可能被应用程序视为两个不同的参数
• 某些API设计可能特意使用大小写来区分不同功能
• 攻击者可能利用大小写变体来绕过安全检测

因此，安全规则引擎应当提供精确匹配的能力，包括大小写敏感的正则表达式匹配。

解决方案与改进

Coraza WAF团队已经针对此问题提供了解决方案：

1. 在最新版本中引入了coraza.rule.case_sensitive_args_keys构建标签
2. 启用该标签后，参数键将保持原始大小写形式
3. 正则表达式匹配将按照大小写敏感的方式执行

这一改进使得安全工程师能够编写更加精确的防护规则，特别是针对那些依赖参数键大小写差异的攻击场景。

最佳实践建议

对于Coraza WAF用户，在处理参数匹配时应注意：

1. 明确了解当前版本对参数键大小写的处理方式
2. 对于需要区分大小写的安全规则，确保启用相应的构建标签
3. 在编写正则表达式规则时，考虑使用明确的字符类(如[Kk]ey)来覆盖可能的变体
4. 测试规则时，应包含各种大小写组合的测试用例

总结

HTTP参数的大小写敏感性是WAF规则引擎需要仔细处理的一个重要方面。Coraza WAF通过引入可配置的大小写敏感选项，为安全规则提供了更精确的匹配能力。这一改进使得Coraza能够更好地适应各种Web应用的安全需求，特别是那些对参数大小写有严格要求的应用场景。