Akamai 的 Web 应用程序防火墙 (WAF) 旨在抵御分布式拒绝服务 (DDoS) 等潜在攻击,但研究人员发现了一种通过使用复杂的有效负载来混淆其规则来绕过其保护的方法。
名为 Peter H. 的研究人员和 Usman Mansha 表示,Akamai 已针对该漏洞进行了修补,该漏洞未分配 CVE 编号。 在文章中,Peter H. 解释了他如何使用易受攻击的版本 春季靴 绕过 WAF 保护.
“我们最终能够绕过 Akamai WAF,并在运行 Spring Boot 的应用程序上使用 Spring 表达式语言注入实现远程代码执行 (P1),”GitHub 解释 Akamai WAF RCE 找到解释。 “这是我们在该程序中发现的第二个通过 SSTI 的 RCE,在第一个之后,该程序实施了一个 WAF,我们能够在应用程序的不同部分绕过它。”