Aggregator

網路攝影機的普及率在近幾年來持續攀升，除了老人與幼兒居家照護、企業室內監控等需求迅速增加之外，結合手機應用程式讓人可隨時隨地觀看影像的方便性也成為普及的原因。當大家還以為黑帽駭客的目標仍然是網站、個人電腦時，已經有許多攻擊者悄悄地將目標轉向了各種物連網設備，例如 NAS、Wireless AP、Printer 等產品，而擁有眾多用戶的網路攝影機理所當然地也是目標之一。身為安控產品，卻造成一項資安的隱憂，是不是有點諷刺呢？

恰好最近幾天忽然看到有新聞報導「家用監視器遭駭客入侵 隱私全被看光光」這樣子的案例，而在去年也有類似的報導「數十萬支監控攝影機潛藏被駭漏洞 電影情景恐真實上演」，讓我們不禁想對這個事件做個深入的調查。就讓我們來看看網路攝影機以及相關產品究竟有哪些風險吧！

我們先來看看幾個大廠在 2013 年到 2014 年之間有哪些已經被公開揭露的 CVE 弱點：

• AVTECH: 3, CVE-2013-4980, CVE-2013-4981, CVE-2013-4982
• AXIS: 2, CVE-2013-3543, CVE-2011-5261
• Hikvision: 3, CVE-2013-4975, CVE-2013-4976, CVE-2013-4977
• SONY: 1, CVE-2013-3539
• Vivotek: 6, CVE-2013-1594, CVE-2013-1595, CVE-2013-1596, CVE-2013-1597, CVE-2013-1598, CVE-2013-4985

讀者們若進一步去看各個 CVE 的詳細資料，會發現有許多弱點都是屬於可執行任意指令的嚴重漏洞，其影響程度非常高，已不只是關於攝影內容是否被竊取，更有可能被利用此類設備進一步攻擊其他內、外網機器。

雖然上面提到許多知名廠牌的嚴重漏洞，但是每個國家使用的安控設備不見得都是上述幾個牌子，而身為資安業者，隨時關注自己國家的網路現況也是很合理的事情～在我們的大量觀測下，發現有許多 IP Camera、DVR (Digital Video Recoder)、NVR (Network Video Recoder) 都存在資安議題，我們從其中提出幾個有趣的案例跟各位分享一下：

• 某國外 V 牌廠商 （數量：320+）

  一般的產品通常都會有預設帳號密碼，但這間廠商的產品似乎沒有預設帳號密碼，若使用者未設定帳號密碼，攻擊者只要直接點「OK」按鈕就可以登入系統，而這樣子的 DVR 在台灣有三百多台，也就是有三百多台 DVR 在網路上裸奔…

• 某國外 H 牌廠商 （數量：1200+）

  有些廠商為了方便維修或者其他理由，會在 NVR 上開啟了 Telnet 服務，雖然增加了被攻擊的機率，但是若密碼強度足夠且沒有外流，也不會隨便被打進去。而這間廠商非常有趣，除了 root 帳號之外還有一組 guest 帳號，並且 guest 的密碼非常簡單，加上當初建置系統時並未檢查機敏檔案的權限是否設定錯誤，導致攻擊者可先用 guest 帳號登入，再去 /etc/shadow 讀取 root 密碼加以破解，進一步取得設備所有權限。

• 某國外 D 牌廠商 （數量：700+）

  這個案例實在是令人哭笑不得，不知道是原廠還是台灣代理商非常好心地幫使用者建立了多組預設帳號，包含 admin、666666、888888 等等，而且密碼也設定得很簡單。但是通常要使用者記得改一組預設密碼已經非常困難，更何況是要使用者改三組密碼呢？這種情形導致攻擊者可以輕而易舉地拿著弱密碼到處猜，大大提高了用戶的受害機率。而更有趣的是，不知道是基於歷史包袱或者其他原因，此設備開了特殊的 port，直接送出含有特定內容的封包到這個 port 就可以執行相對應的指令，例如可以取得帳號密碼、使用者 email 等等，而在這個過程中完全沒有任何認證機制！等於又有七百多台 NVR 在網路上裸奔…

• 某國內 A 牌廠商 （數量：1000+）

  這間廠商也是使用常見的預設帳號密碼，但它可怕的地方還不止於此。該系統將帳號密碼轉為 Base64 編碼後直接當作 cookie 內容，因此若預設帳號密碼分別是 abc 與 123，將 abc:123 用 Base64 編碼過後可得到 YWJjOjEyMw==，接著將 Cookie: SSID=YWJjOjEyMw== 這串內容加到 request 的 HTTP header 中，就可以到處測試該設備是否使用預設帳號密碼，甚至還可以進一步下載備份檔，察看使用者有無填寫 email、網路帳號密碼等資料。

• 某國內 A 牌廠商（數量：10+）

  這個案例雖然數量非常少，但是卻非常嚴重。為什麼呢？因為廠商沒有對機敏資料做嚴格的權限控管，只要攻擊者直接在網址列輸入 http://IP/sys.bin，就可以直接下載一個名為 sys.bin 的檔案，而此檔案是 tgz 格式，解壓縮後可以得到 system_server.conf，該檔案中含有帳號、密碼，因此即便使用者修改了預設帳號密碼，也會因為這個嚴重漏洞而輕易地被入侵。

• XXXX科技 （數量：230+）

  這是一個非常經典的案例！一般攻擊者入侵攝影機最常見的就是為了偷看攝影機畫面，再進階一點的可能會控制該攝影機進一步攻擊內網。而這家廠商身為知名保全公司投資成立的安控公司，理當為客戶的監控畫面做最周全的規劃、最謹慎的防護，但是結果呢？報告各位，完全沒有任何防護！只要連到 IP 位址就可以直接看到攝影機畫面，也是屬於裸奔一族…

從這幾個案例我們可以發現台灣目前至少有 3500 台左右的安控設備處於高風險狀態中，而由於我們無暇對每一款設備進行調查，因此這僅僅是一個概略的調查結果。同時這些設備都是在網路上可直接連線的，若再加上各個公家機關、辦公大樓、社區的內網安控設備，恐怕會有更驚人的發現。

究竟為什麼會有這麼多安控設備被入侵呢？其實主要有兩個面向。第一個是由於許多廠商的防範觀念仍停留在舊時代，不了解駭客到底都怎麼攻擊，因此也不了解確切的防治方法。舉例來說，廠商在網路安控系統的 Web 輸入介面都會設定許多阻擋規則，以防範入侵者輸入惡意攻擊指令，但是這些防治手段都僅僅做在 client 端（用 JavaScript 來防護），入侵者只要利用 proxy 工具或自行寫程式發送客製化 request 就可以繞過那些驗證，若廠商沒有在 server 端再次進行驗證輸入資料是否異常，就有很高的機會被入侵成功。

另一方面則是入侵者的攻擊手法千變萬化，難以保證不會有新的 0-Day 弱點出現。例如今年一月份大量爆發的 NTP 弱點 CVE-2013-5211 就存在於上述六個案例其中之一，我想廠商應該不會有意願針對舊產品修復此類漏洞，也就是未來隨時有幾百台的攝影機可被惡意人士用來執行 DDoS 攻擊。另外今年四月份的 OpenSSL Heartbleed 弱點更是一個具有代表性的重要案例，我想這應該是許多安控設備廠商都會使用的程式。當廠商將此類程式納入網路安控設備中，於弱點被揭露時若無法及時有效修補，或是修補的成本太高導致用戶不願意修補、沒有能力修補，就有可能釀成重大災情，不但造成用戶損失，也嚴重影響商譽。

針對此類資安問題，大型硬體廠商應該落實以下幾個動作：

• 改善資安問題更新流程：將產品的資安更新改變成主動通知使用者，而非需要使用者主動到官網看才知道更新，以縮短使用者更新的平均週期，確保使用者的軟體是最新無風險版本。
• 成立專門資安小組：請專人負責檢驗產品的資安品質與修正資安弱點，以便因應臨時爆發的重大弱點，維持產品的資安品質。
• 黑箱滲透測試：於產品出廠前執行黑箱滲透測試，讓滲透測試專家從黑帽駭客的角度來檢查產品有無漏洞。
• 白箱原始碼檢測：定期執行原始碼檢測，從產品的根本處著手改善，降低產品上市後才被發現弱點的機率。
• 資安教育訓練：請有實際攻防經驗的資安專家給予開發人員正確的資安觀念，了解最新的攻擊手法與有效防禦之道。
• 定期檢閱產品所使用的第三方軟體套件是否有弱點，例如 OpenSSL，以避免把有問題的版本納入產品，造成產品間接產生弱點，因而遭到入侵。
• 定時於網路上收集產品的相關弱點資料，例如 Secunia、SecurityFocus、Packet Storm 等網站都是很好的資訊來源。

目前的網路安控系統使用者仍未有足夠的資安意識，主要現象有以下幾點：

• 使用弱密碼
• 未進行適當的權限劃分與管理
• 容易開啓攻擊者寄送的惡意連結，導致被 XSS、CSRF 等手法攻擊
• 未限制連入 IP 位址，導致安控系統可從外網任意存取

然而，無論是安控系統或其他任何連網設備，未來都有可能成為潛在的攻擊目標，而且在廠商提供更新檔之前其實也很難確實地自保，因此了解資安知識與常見的攻擊手法是有其必要的。基本的防範之道如下：

• 使用強密碼，包含大小寫英文、數字、特殊符號，並且定期更換密碼
• 勿在系統建立太多不必要的使用者帳號、將多餘的帳號移除，以降低帳號被盜的機率。若需要建立多組帳號，請仔細給予適當的權限
• 勿隨意開啟可疑信件附帶的連結或檔案，以避免被攻擊者以 XSS、CSRF 等手法攻擊
• 限制可存取資訊系統的 IP 位址，避免資訊系統成為公開的攻擊目標
• 定期檢查 log，確認有無異常登入、異常操作甚至是異常帳號等資訊

在物連網的時代中，各種可進行無線通訊的設備被攻擊的事件屢見不鮮，例如 2011 年知名駭客 Jay Radcliffe 在 Black Hat 展示如何攻擊胰島素注射器，2013 年已故駭客 Barnaby Jack 原本要在 Black Hat 展示如何利用藍芽通訊控制心律調整器，甚至 2014 年甫推出的可遠程變換顏色燈泡也被揭露有資安問題。在不久的未來，這些資安問題只會更多，身為民眾、企業、廠商的你，準備好面對萬物皆可駭的物連網時代了嗎？

So far, 2014 has been a tumultuous year for the security industry. We’ve seen thousands of computers taken hostage through...

The post Mobile Malware, Phishing and Ransomware — Oh My! A Quick Look at the Current Threat Landscape appeared first on McAfee Blog.

在今年駭客年會企業場，我們分享了一場『被遺忘的資訊洩漏』。資訊洩漏是十幾年前就被一提再提的議題，在資訊安全領域中也是最最最基本該注意的事情，然而至今很多網站都還是忽略它，甚至連一些熱門網站都仍有資訊洩漏問題。議程中我們舉了大量的例子證明資訊洩漏其實可以很嚴重，希望能幫大家複習一下，如果網站沒有注意這些，會造成什麼樣的後果。議程投影片如下所示，就讓我們來總結一下吧！

首先我們從過往滲透測試經驗中挑選了幾個常見的資訊洩漏問題，分別如下：

• 管理介面洩漏 (p8-p19)
• 目錄(Index of)洩漏 (p20-p28)
• 錯誤訊息洩漏 (p29-p35)
• 暫存、測試資訊 (p36-p46)
• 版本控管 (p47-p55)
• DNS 資訊洩漏 (p56-p63)

以上種種不同洩漏方式，可能會洩漏出系統環境資訊、程式碼內容、含有帳號密碼的設定檔等。透過這些資訊，駭客就能組織出一個有效的攻擊行動。我們甚至在過往的經驗中，只透過目標的資訊洩漏，就直接取得資料庫操作權限(詳見投影片 p65-p71)。

為了解目前一些熱門網站是否重視這些最基本的保護，我們實際對 alexa 台灣前 525 名的網站進行資訊洩漏的調查。

在管理介面和測試頁面洩漏的項目，我們用很保守的方式測試根目錄下是否存有 phpmyadmin 和 phpinfo 頁面，結果分別有 7% 和 9% 的網站有這樣的問題。這樣的結果非常令人訝異，畢竟受測網站都是知名且有技術力的網站，而且並非所有網站都使用 php 開發，再加上我們只是測試預設的命名，實際洩漏的情況會更多！

另一個值得一提的是版本控管洩漏問題，我們同樣保守的只針對版本控管軟體中 GIT 和 SVN 兩項進行調查。結果竟然有 10% 的網站有這樣的問題。這個現象非常嚴重！這個現象非常嚴重！這個現象非常嚴重！這個洩漏有機會能還原整個服務的原始碼，被攻擊成功的機率相當高！台灣熱門的網站裡，十個裡面就有一個存有這樣的問題，非常危險，煩請看到這篇文章的朋友能去注意貴公司的網站是否存在這樣的問題。

在這場議程中，我們還提到了另一個層次的資訊洩漏議題：當全世界主機的服務及版本資訊全部都被收集起來，會發生什麼樣的事情？

駭客擁有這樣的資料，就能夠在非常短暫的時間內篩選出有問題的主機，進行大量的入侵。我們利用類似的技術針對台灣主機快速的進行掃描，就發現了台灣有 61414 台主機可以被利用來做 DNS Amplification DDoS 攻擊、1003 台主機可以被利用來做 NTP Amplification DDoS 攻擊。也就是說，駭客可以在短時間內組織一支六萬多人的台灣大軍，可以針對他想要攻擊的目標進行攻擊。

利用相同的技術，我們也順便檢驗了前陣子非常熱門的 OpenSSL Heartbleed 問題。OpenSSL Heartbleed 被稱之為『近十年網路最嚴重的安全漏洞』，其嚴重程度可以想見，然而根據我們的觀察，台灣至今仍有 1480 台 HTTP 伺服器尚未修復，而台灣前 525 大熱門網站中，也有 21 個(4%)網站未修復。足見台灣網站對於資安的意識仍然不夠。

對於這樣海量收集資料衍生的資安議題，我們認為最大的受害者，是物聯網的使用者！就我們的觀察，物聯網的設備通常安全防護不佳，容易遭受到駭客攻擊，前陣子 HP 也出了一份報告指出，物聯網的設備有七成存在弱點，而且每台設備平均有 25 個弱點。除此之外，物聯網的設備不易更新，少有人會定期更新，更導致物聯網設備可以被大範圍的攻擊，進而滲透家用網路，危害使用者居家隱私。這是個未來需要持續關注的重要議題。

最後，我們用最近 SynoLocker 的案例為大數據資料蒐集作結，SynoLocker 是一款針對 Synology 的勒索軟體，去年底 Synology 官方已經推出新版修正問題，本月 SynoLocker 擴散至全世界，新聞一再強調需要更新 NAS，但我們針對台灣 1812 台對外開放的 Synology NAS 做統計，至今仍發現有 64％ 的使用者沒有更新，也就是這些 NAS 仍暴露在 SynoLocker 的風險中。這件事情又再次證明駭客有能力在短時間利用大數據資料找到攻擊目標，也順帶說明了台灣資安意識普遍不足的問題。

在這次議題我們關注了很古老的資訊洩漏問題，並且發現目前台灣一些熱門網站仍然存在這樣的問題。資訊洩漏也許不是一件很嚴重的事情，但往往能激起駭客高漲的情緒，駭客會認為一個網站連最最最基本的資料保護都沒有做到，一定會存在其他資安問題，進而進行更大量的攻擊行為。而事實上，我們也從實例證明了其實資訊洩漏可以很嚴重，希望網站提供者能夠注重這個簡單可解決且重要的議題。

我們也提到了駭客透過平常大量的資料收集，在需要的時候能快速找到目標並且大範圍攻擊。這其中又以物聯網的用戶影響最多。面對這樣的議題，我們建議除了適當的隱藏(偽造)主機版本資訊以避免出現 0-Day 時成為首要攻擊目標。我們也提倡要對自己的服務做普查，了解自己到底對外開啟了什麼服務，以及關注自己使用的第三方套件是否有安全更新。

希望明年不需要再有一篇『依舊沒改變的資訊洩漏』！大家快點注意這件簡單的事情吧！

在網路上傳輸敏感資訊時，通常會使用 HTTPS 協定，讓客戶端與伺服器端對資料進行 SSL 加密處理，以降低資料在傳輸過程中被監聽或中間人攻擊的風險。HTTPS 的重要性逐漸被重視，Google 除了預設開啟 HTTPS 之外，未來更會將 HTTPS 的網站搜尋排名加分。但為了確保傳輸的安全，過程中客戶端會核對伺服器的憑證鏈 (certificate chain) 是否有效，若判定為無效時會作出警告。(詳見Wikipedia)

而在手機應用程式上 HTTPS 同樣重要，例如網路銀行、線上購物等。系統同樣會做憑證核對，但對被判定為無效的憑證就需要開發者作出額外的處理了。許多手機應用程式開發商在這個部分並沒有妥善處理好，以下我們就幾個常見的成因做基本的探討。

在探討該如何處理這個問題之前，這裡先列出一些有可能被系統判定成無效憑證的成因。

在 Android 2.2 及之前的版本，對 SSL 的支援上存在著一些問題，像是 SNI 和 Multiple Chain。而 Android 上不接受缺少中繼 CA 憑證的憑證鏈，例如：https://egov.uscis.gov/

以 GCA 簽發的 SSL 憑證為例，在 Windows 上被判定為有效，但在 iOS 系統上卻因為 CA 不在系統的預載清單中而被判定為無效。

這種情況常出現在應用程式開發階段的內部測試環境中，由於是內部測試環境一般都不會花錢去申請憑證。

當連線被 MITM 攻擊時，使用者原本的連線目的地會被導到攻擊者的設備上，此時伺服器憑證也會被取代成攻擊者自行簽發的憑證，造成原本正常的連線出現異常。

理想情況下，客戶端的支援度充足，伺服器憑證鏈的來源及設定正確，只需使用系統原有的方式去檢查憑證即可達到安全效果。但若非得要相容低版本系統或是自行簽發憑證的時候，就得自行做額外的檢查。

在處理方式上，普遍是使用憑證綁定 (certificate pinning) 的方式，把需要比對的憑證預先存放在應用程式裡，待要進行 SSL Handshake 的時候再與伺服器的憑證做比對。

可是在實務上，大多開發人員採用消極的方法，把錯誤警告略過讓連線繼續進行，使得本來使用 SSL 加密連線帶來的安全性形同虛設。據 2012 年 Why Eve and Mallory Love Android: An Analysis of SSL (In)Security on Android 這篇論文指出，在 Google Play 上 13500 個免費熱門應用程式當中，共有 1074 個 (8%) 應用程式因錯誤的 SSL 處理而導致使用者陷入 MITM 攻擊的風險中。

下面我們整理了一些在手機應用開發上，常見的 SSL 處理錯誤，以及其對應適當的處理方法。

當透過 WebView 元件訪問 HTTPS 網站發生 SSL 錯誤時，會觸發 onReceivedSslError 這個函數。根據官方文件指出，可藉由執行 handler.proceed() 或是 handler.cancel() 來決定是否讓連線繼續進行。在不覆寫這函數的情況下預設會執行 handler.cancel()。而上面的做法卻讓異常的連線繼續進行了。

較為恰當的做法是使用 handler.cancel() 讓連線終止，或是限制在開發階段才執行 handler.proceed()。像 Apache Coradova 和 Facebook Android SDK 皆有對這部分做控管。

本用來檢查伺服器憑證的 checkServerTrusted 被留空，導致警告被略過。Google 建議不要自行實作 TrustManager，而是把憑證放到 KeyStore，再把 KeyStore 放到 TrustManagerFactory，最後從 TrustManagerFactory 產出相關的 TrustManager，開發文件中有提供處理的範例。OWASP 的 WIKI 上也有提供自行實作 TrustManager 做 certificate pinning 的範例。2

下面節錄 Android 官方文件上的範例：

或是

上述寫法略過了憑證中的 hostname 檢查，導致即使連線端與憑證中指定的 hostname 不一致也能通過。較為恰當的做法是不特別設定，讓他使用預設的 DefaultHostnameVerifier，或是採用更為嚴謹的 StrictHostnameVerifier。

此情況使用到 Framework 中的 Private API，雖然這種寫法會因為不能通過 Apple 的審查而不會出現在 AppStore 上(使用回避技巧不在這討論範圍內)，但仍有機會在無需經過 Apple 審查的 Enterprise App 中使用。較為適當的做法是用 “#if DEBUG”，”#endif” 包起來以確保該段程式在編譯時只能對開發中的 debug 版上有作用。

上面的做法會讓使用 NSURLConnection 的連線略過憑證檢查，容許任意憑證通過。下面節錄 OWASP WIKI 上的範例：

處理方式與前面的 Android 情況2類同，做了 certificate pinning。

與前面 NSURLConnection 的情況類同，只是這裡使用到的是 iOS7 新增的 NSURLSession 元件。對應的處理方式如下：

在對 WebView 做處理上，除了對 SSL 錯誤直接略過外，目前無論是在 Android 還是 iOS 上，SDK API 都尚未直接提供方法讓開發者能在 SSL Handshake 的途中作 Server Certificate Pinning。其中一個替代方法是，利用其他能夠作 Pinning 的元件將資料下載回來，接著把資料傳到 WebView 進行讀取，避開原本用 WebView 直接設定連線網址。蘋果公司有提供這種處理的範例。

本來為了提高安全性而使用的 SSL 加密連線，卻由於程式處理不當讓原來的保護形同虛設。觀念不足與為節省時間而沒做好處理相信是主要原因。網路上大量的文章在引指開發者略過錯誤警告的時候，卻沒有提醒他們這樣做帶來的影響，也助長了不當處理的發生。

除了 SSL 處理問題外，手機應用程式開發還有許多要注意的安全問題，像是 OWASP 列出的 Top 10 Mobile Risks、由日本智慧型手機安全協會發佈 Android Application Secure Design/Secure Coding Guidebook 裡面所建議的。開發商有責任做好安全把關以保障雙方權益。

• Rethinking SSL Development in an Appified World
• Unifying Key Store Access in ICS | Android Developers Blog
• The CommonsBlog — SSL on Android: The Basics
• Security with HTTPS and SSL | Android Developers
• Networking Programming Topics: Overriding TLS Chain Validation Correctly
• Technical Note TN2232: HTTPS Server Trust Evaluation
• Certificate and Public Key Pinning - OWASP

1. Google 基於效能及有效性的考量，在 Android 系統上預設停用憑證撤銷檢查
    ↩

2. OWASP 的 Android 範例中，內含的 PUB_KEY 是錯誤的 (最後更改日期 2014/08/14) ↩

On Tuesday afternoon, The New York Times revealed that a group of Russian hackers now holds 1.2 billion username and...

The post Russian Hackers Steal 1.2 Billion Passwords appeared first on McAfee Blog.

Recently, the McAfee Advanced Exploit Detection System (AEDS) has delivered some interesting RTF files to our table. These RTFs have...

The post Dropping Files Into Temp Folder Raises Security Concerns appeared first on McAfee Blog.

Review of the agencies in the core New Zealand Intelligence Community (NZIC), Unclassified Summary, July 2014.

過去談到網站安全，通常會使用防火牆或 IDS 進行防護。但近年來網站安全議題都是以網頁應用程式的漏洞居多，無法單靠防火牆阻擋。以 OWASP Top 10 2013 的第一名 Injection 而言，多半是程式撰寫方法不嚴謹所造成，因此才有了網頁應用程式防火牆 (Web Application Firewall, WAF) 的出現。

有了 WAF 就是萬靈丹了嗎？就算有各種資安設備，但缺乏安全的設定，有的時候反而會讓系統陷入安全風險中。我們就以 Reverse Proxy 或 WAF 設備來探討不佳設定帶來的安全風險。

以常見的 mod_proxy 搭配 mod_security 的方案來看，通常使用 Reverse Proxy 或 Transparent Proxy 為其架構，透過 Proxy 的方式在 Client 與 Web Server 之間，對 HTTP Request / Response 進行過濾；以 HTTP Request 為例，當 WAF 偵測到 Client 端的請求中有 SQL Injection 語法時候，將會阻斷這個連線防止駭客攻擊。

在這種架構下的 WAF 看似對後端的伺服器多了一份保障，但也並非完美。其問題是後端的 Web Server 在透過 WAF 存取的情況下，無法得知來自 Client 端的來源 IP，相反的 Web Server 能看到的 IP 都將是 WAF 的 IP (REMOTE ADDR)，在這種情況下可能造成 Client 端可以存取受 IP 來源限制的系統。延伸閱讀：如何正確的取得使用者 IP？。

以下圖為例，網站本身只允許 192.168.x.x 的網段連線，如果今天 Client IP 是 1.1.1.1，將無法存取該網站。

但在有建置 WAF 的架構之下，Client 透過 WAF 存取網站，網站得到的 IP 會是 WAF 的 IP：192.168.1.10，因此允許連線，Client 因而取得原本需在內網才能存取的資料。

我們以常見的 Web Server 整合包 XAMPP 為例，在預設的 http-xampp.conf 設定檔中限制了一些管理頁面只能由 Private IP 存取，如 /security 、 /webalizer 、 /phpmyadmin 、 /server-status 、 /server-info 等，此時 WAF 的 IP 若為 Private IP，依 XAMPP 預設設定，WAF 將可以存取這些受 IP 限制的資源，當 WAF 存取完資源後又將內容回傳給 Client 端。

http-xampp.conf 預設設定

如果照著預設的設定，以現成的案例來看，能夠存取 Apache Server 的系統狀態，其中可以看到網站所有連線以及 URI 等資料。

並且可以直接讀取 phpMyAdmin 介面，並且至資料庫中新增、修改、刪除資料，甚至直接上傳 webshell 進入主機。

XAMPP 也內建了網站記錄分析工具 webalizer，透過這個介面可以知道網站所有進入點的流量、統計數據等。

如果建置了 WAF，有關 IP 的設定必須要從 WAF 支援的 HTTP Header 中取出使用者的 IP (REMOTE_ADDR)，才能讓原本網站的 IP 限制生效。在這種設定錯誤或是對 WAF 架構不瞭解的情況下，WAF 反而成為駭客繞過 Private IP 限制的跳板，就如同為駭客開了一個後門。因此在使用資安設備時，必須瞭解其架構。別讓資安設備、安全機制，反而使得伺服器更不安全。