AI+WAF实战笔记：0day漏洞，搞定！

人工智能技术的迅猛发展给各领域带来了前所未有的变革和进步，但也催生出新的网络安全问题。AI攻击手法更为隐蔽复杂，还具备高度自动化，对传统防御手段的安全性和可靠性构成严重威胁。在此背景下，融合AI技术的安全产品正逐渐崭露头角，成为网络安全领域的新防线。

启明星辰天清Web应用安全网关（天清WAF）不断创新的安全防护技术，结合天阗AI智能体的强大能力，将智能语义分析检测算法推向全新高度。其敏锐的洞察力可与资深安全专家相媲美，为用户带来卓越的攻击识别与防御体验。

天清WAF能够根据应用层协议代码的实际执行逻辑和上下文进行判断，结合加密套件、编码方式、语法校验、接口函数调用识别、语句复杂度评估等多重维度，对代码行为进行精准分析，从而主动识别和防御未知的攻击。

以近期爆出的热点漏洞CVE-2024-36104为例，天清WAF算法引擎中JAVA代码注入防护模块在无需升级的情况下，成功实现防护，有效避免了相关客户遭受损失。

0day漏洞防御始末

Apache OFBiz 18.12.14之前版本存在命令执行漏洞，该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径（请求URL中的特殊字符（如；、%2e）限制不当导致攻击者能够绕过后台功能点的过滤器验证，并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。

启明星辰金睛安全研究团队在深入分析此漏洞之后，发现官方补丁并不能完全修复漏洞，还存在其他利用方式，相当于在目前这个受影响应用的最新版中，还存在未公开的0day漏洞。而研究人员使用其原始POC和未公开的0day POC进行渗透测试，发现天清WAF的JAVA代码注入防护算法却能够成功进行防护。

以下为告警详情：

注：由于互联网未公开0day攻击信息敏感，具体脚本此处略去

显而易见，在获取到该漏洞情报前，天清WAF的JAVA代码智能语义检测算法即可准确地识别并阻断攻击，并能够在告警信息中，自动对攻击payload进行编码、格式的解析，输出关键payload的明文信息。

这一实例，再次充分证明天清WAF在检测和防护未知威胁方面的卓越能力和高效性。

天清WAF检测算法

基于签名的检测与基于语义算法的检测是两种相互补充的防御策略。前者为我们提供了快速准确对抗已知威胁的能力，而后者则为我们带来了针对未知攻击的深度防御。

天清WAF整合了这两种算法引擎，形成了一个多层次、全方位的安全防护网络，无论是对抗已知的威胁还是提前预防未来的攻击，都能确保Web应用的持续安全性和稳定性。

同时，天清WAF的智能语义防护算法覆盖面十分广泛，不仅能够有效防御PHP代码注入、模板注入（SSTI）、跨站脚本攻击（XSS）、SQL注入等传统攻击手段，还能针对PHP反序列化攻击、XML外部实体注入防护（XXE）、远程文件包含（RFI）、本地文件包含（LFI）、服务端请求伪造（SSRF）等复杂攻击类型进行精准防御。

为进一步提升防御效果，天清WAF还融入了AI机器学习算法。这些算法的通用性和适应性，使其在不断变化的网络威胁面前始终保持着出色的防御能力，能够有效抵御各类0day攻击，为网络应用提供全面而坚实的安全保障。

•

END

•