探索Imperva Web应用防火墙（WAF）POST请求绕过问题

在网络安全领域，发现并修复潜在风险是确保数据安全的关键步骤。Imperva的云Web应用防火墙（Cloud WAF）曾面临一个需要关注的问题，允许用户在发送特定HTTP POST负载时可能规避WAF规则，如log4j利用、SQL注入、命令执行、目录遍历、XXE等。让我们深入了解这个问题，并查看如何识别和应对这种情况。

问题详解与改进

Imperva Cloud WAF的这个情况使操作者只需在HTTP POST请求中添加Content-Encoding: gzip头即可规避部分规则。即使POST数据保持不变，只要Content-Encoding头的前四个字节为gzip，WAF就不会对POST请求应用某些规则。Imperva对此非常重视，在得知该情况后仅用几天时间就发布了全球范围的改进方案。所有Cloud WAF客户自2021年12月22日起自动获得更新，Imperva的安全团队表现出了成熟的专业技能。

识别与检测方法

你可以通过Burp Suite的代理Match & Replace功能轻松实现这个识别。只需添加一个新的头，如所示：

项目提供了一个名为imperva_gzip.py的测试脚本，用于检测目标URL是否需要注意这个问题或识别正在使用的WAF类型。运行方式如下：

./imperva_gzip.py [[-t] | [-r]] URL

脚本行为与退出码

imperva_gzip.py的退出码可以帮助你理解其运行结果。例如，如果返回128，则表示存在Imperva WAF，但并未受到gzip情况的影响。

应用场景

这个开源项目对于安全评估人员、研究人员以及希望检查其网站防护能力的Web管理员来说非常有用。通过它，可以快速验证网站是否需要注意此类POST请求的情况，从而采取适当的防护措施。

项目特点

1. 简单易用：只需一行命令即可运行测试。
2. 全面检测：不仅可检测Imperva WAF，还支持其他常见的Web应用程序防火墙。
3. 及时响应：Imperva的安全团队迅速推出更新，展示了高效的响应机制。
4. 教育价值：帮助大家了解Web应用防火墙的工作原理及其潜在注意事项。

如果你负责维护一个Web服务，或者你是一位热衷于学习网络防护的开发者，那么这个项目无疑是值得关注和使用的。通过掌握这类信息，你可以更好地保护自己的系统免受潜在威胁。