薛定谔的WAF

薛定谔的WAF

背景

公司某项目采购阿里云WAF,让我测试下配置生效了没.我测试时发现某些域名出现了攻击请求不拦截的情况.多次重试后发现向同一个CDN节点发送相同的攻击Payload,会出现偶尔不拦截的情况.于是向阿里云售后反馈此问题,想了解问题产生的原因.

流水账

3月17日 13:37反馈WAF拦截不生效问题

image-20220318164825536

3月17日 15:03 答复域名未开启WAF,并附了两张截图,一张是ping域名的结果,一张是带有alert(xss)的XSS测试请求(未拦截).

image-20220318161504554

image-20220318161543325

image-20220318162038971

3月17日 18:27 关闭工单

image-20220318161657914

(由于我屏蔽了群消息,3月18日才看到回复内容.)

3月18日 11:25 针对昨天的回复,重开工单,并附了一张XSS攻击请求拦截截图.

image-20220318161915587

image-20220318161953531

3月18日 12:29,要求提供测试URL,说明是否开启WAF.

image-20220318162342267

3月18日 14:25,答复域名开启了WAF,并且我的XSS测试请求被拦截是在预期中.

image-20220318162403189

我遇到的问题是多次发送攻击请求,有的被拦截,有的没有被拦截,这个客服根本没有看工单(群聊)的上下文.

我要求他了解上下文后,答复说是因为百万级吧啦吧啦xxx…一句话总结就是”节点没有同步配置”.

image-20220318162535429

然而我给他发的第一张图片就是绑定了IP的测试结果,是针对同一个CDN节点测试的,我又重新发了第一张图.

答复说后期优化,阿里云WAF商用也不是一天两天的事了,这么奇葩的BUG都能存在.这跟上了战场发现防弹衣是伪劣产品一样…

image-20220318163020140

吐槽

阿里云非要搞一个售后群,群里30多个安全专家,结果没人说话.

image-20220318164357742

处理问题还是使用工单的形式.提交后,可能半小时,也可能两个小时后才给你回复一次.而且问题已经说得很明白了,还让提供莫名其妙的信息,比如要求提供测试URL,是否开WAF.我提供的截图上有URL,是否开启WAF后台一查便知,非要浪时间做无效沟通.

image-20220318165837217

image-20220318165920974

image-20220318170030885