分析绕过一款适合练手的云WAF

于 2021-07-22 09:41:34 发布
阅读量164 收藏
点赞数
分类专栏: 安全资讯
原文链接:https://www.wosign.com/tag/waf.htm
版权

X-WAF 是一款适用中、小企业的云 WAF 系统,让中、小企业也可以非常方便地拥有自己的免费云 WAF。

本文从代码出发,一步步理解 WAF 的工作原理,多姿势进行 WAF Bypass。

0x01 环境搭建

官网:

https://waf.xsec.io>

github 源码:

https://github.com/xsec-lab/x-waf

X-WAF 下载安装后,设置反向代理访问构造的 SQL 注入点

0x02 代码分析

首先看一下整体的目录结构,nginx_conf 目录为参考配置(可删除),rules 目录存放过滤规则,init.lua 加载规则,access.lua 程序启动,config.lua 配置文件

主要逻辑实现全部在 util.lua 和 waf.lua 文件。

代码逻辑很简单,先熟悉一下检测流程,程序入口在 waf.lua 第 262-274 行中:

这个一个多条件判断语句,一旦满足前面的条件就不再进行后面的检测。

白名单

首先判断 IP 白名单,我们来看一下 white_ip_check() 函数,同文件下的第 50-64 行:

默认配置 IP 白名单是开启状态,读取 IP 白名单规则与获取的客户端 IP 进行比对,我们再来跟进看一下 get_client_ip() 函数,在 util.lua 文件中,第 83-96 行:

在这段获取客户端 IP 的代码中,获取的 X_real_ip、X_Forwarded_For 是用户可控的,存在客户端IP地址可伪造的风险。最后再来看一下,rules目录中 whiteip.rule 的默认配置:

[{"Id":74,"RuleType":"whiteip","RuleItem":"8.8.8.8"}]

IP 白名单规则默认 IP:8.8.8.8 为白名单

因此我们可以通过构造 HTTP 请求 Header 实现伪造 IP 来源为 8.8.8.8 ,从而绕过 x-waf 的所有安全防御。

Bypass 测试

先来一张拦截效果图

伪造客户端 IP 绕过:

另外有趣的是,在 blackip.rule 里面,把 8.8.8.8 放置在黑名单里面,但这并没有什么用,IP 白名单已经跳出多条件判断,不会再进行 IP 黑名单检测。CC 攻击的防御也主要是从客户端获取 IP,也可以伪造客户端 IP 轻易绕过限制。

[{"Id":2,"RuleType":"blackip","RuleItem":"8.8.8.8"},

{"Id":3,"RuleType":"blackip","RuleItem":"1.1.1.1"}]

同样来看一下 url 白名单 white_url_check() 函数:

添加了一下 URL 白名单功能,感觉无效,对比了一下 rules 文件,可以发现加载的 rule 文件名不一致。

这里应该是作者的一个笔误,writeurl.rule 和 whiteUrl.rule。

默认 url 白名单配置:

[{"Id":73,"RuleType":"whiteUrl","RuleItem":"/news/"}]

另外,这里使用 ngx.re.find 进行 ngx.var.request_uri 和 rule 匹配,只要 url 中存在 /news/,就不进行检测,绕过安全防御规则。比如 :/test/sql,php/news/?id=1、/test/sql,php?id=1&b=/news/等形式可绕过。

正则匹配

接下来,我们主要来看一下M.url_args_attack_check():

M.post_attack_check():

两段函数在一定程度上是类似的,使用 ngx.req.get_uri_args、ngx.req.get_post_args 获取数据来源,前者来自 uri 请求参数,而后者来自 post 请求内容,并未对数据进行特殊处理,然后都使用rulematch(data, rule, "joi")来进行匹配。

rule 中比较关键 SQL 注入防御规则如下:

`select.+(from|limit)

(?:(union(.*?)select))

(?:from\W+information_schema\W)`

绕过姿势一:%0a

由于使用的是 joi 来修饰,我们可以用 %0a 来进行绕过。

/sql.php?id=1 union%0aselect 1,schema_name,3%0afrom /*!12345information_schema.schemata*/

绕过姿势二:%u 特性

主要利用 IIS 服务器支持 unicode 的解析

/sql.aspx?id=1 union selec%u0054 null,table_name,null fro%u004d information_schema.tables

绕过姿势三:HPP+GPC

使用 GPC 三种方式可以进行参数传递,利用 apsx 特性,将获取到参数拼接起来,可成功 Bypass

/sql.aspx?id=1 union/*

POST:Id=2*/select null,system_user,null

0x03 总结

这是一款适合用来进行 WAF Bypass 练手的云WAF,通过代码层面熟悉 WAF 的工作原理,进一步理解和应用各种服务器特性、数据库特性来进行尝试 Bypass,期待与你来交流更多姿势。

沃通WoTrus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
代码签名证书有哪些不同类型?
06-12 313
在数字化时代,软件安全已成为企业和个人用户关注的焦点。代码签名证书作为一种数字证书,对软件进行数字签名和加密,确保了软件在传输过程中的安全性和可靠性。本文将详细介绍代码签名证书的类型及其选择方法。
博客
华为云云速建站安装SSL证书开启HTTPS访问
11-03 654
一、https://buy.wosign.com/申请SSL证书,国内网站一般用DV单域名。提交域名,付款后,很快就会收到解析说明,通常如下:解析认证域名所有人,认证完毕后记录值可删除。记录类型:TXT主机记录:_dnsauth记录值:c31a75070bbd54c8a44593b9914c4a27fa0d891a63f4aea799ca07f709d4db8e二、登录华为云——云解析(如果域名在其它地方注册的,请进入对应的提供商地方管理域名)三、添加记录集页面快速.
博客
SSL证书加密套件常见弱密钥以及修复建议
11-02 5922
服务器使用了anonymous套件匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。TLS_DH_ANON_WITH_AES_256_GCM_SHA384TLS_DH_ANON_WITH_AES_128_GCM_SHA256TLS_DH_ANON_WITH_AES_256_CBC_SHA256TLS_DH_ANON_WITH_AES_256_
博客
ssl证书如何安装?常见的四类ssl证书安装方法介绍
10-29 2227
网站运营过程中我们不仅会使用到很多的技术,也需要取得相应的认证,在各类型的认证证书当中,ssl证书可以说是最为关键的一种。ssl证书作为确保服务器与用户之间信息传输稳定性和安全性的一种协议证书,ssl证书安装中又有什么需要注意的呢?ssl证书安装是有一定的操作步骤的。我们在进行ssl证书安装时,往往会用到不同的安装方法,目前总结出的常用ssl证书安装方法主要有四个种类。一、首先是使用服务器证书安装配置的ssl证书安装方式我们在安装ssl证书之前,需要在服务器上制作一个CSR文件,主要作用是通过C
博客
ssl证书在购买选择时有什么需要注意的吗?
10-26 130
网络世界与我们现实世界一样,在进行相关信息交流和交换的时候为了取得用户的信任或者表示自己的身份,需要有一定的证件证明。我们常说的ssl证书就是互联网企业证明自身身份所签署的协议,同时也向用户证明网站具有信息加密传输的功能。对于互联网企业来说,在选择ssl证书的时候有什么需要注意的吗?首先我们要了解ssl证书究竟是做什么用的。简单来说ssl证书是数字证书颁发机构为企业、个人或者组织提供的证书,ssl证书验证成功的网站,往往具有服务器的身份验证与数据传输加密功能。ssl证书的理论知识理解起来相对复杂,我们用
博客
bluehost安装SSL证书
10-26 696
一、登录bluehost控制面板二、选择:cPanel三、选择:SSL/TLS四、选择:管理SSL证书站点注意:默认SSL/TLS密钥类型(TLS 1.3、TLS 1.2),会导致古老的浏览器无法访问,但安全性很高,适合电子商务、支付平台。如果纯内容网站。如果需求兼容性高,请选择:RSA, 4,096-bit RSA is more compatible with older clients (for example, browsers older than Inte..
博客
bluehost添加解析TXT类型或CNAME类型
10-22 526
一、登录bluehost控制面板——选择:Domains——Manage快捷方式:https://my.bluehost.com/hosting/app#/domains/manage/wosign.com将wosign.com改成自己的域名,可以直接到域名解析界面。二、Add Record(如果是其它类型的解析,比如:TXT或者CNAME,往下移动选择Add Record)根据要求选择对应的解析类型后添加。下面是TXT类型解析,通常用于SSL证书认证,参考图..
博客
TLS怎么样?是不是比SSL更好?
10-21 519
TLS(传输层安全)是人们经常听到的一个词。事实是SSL和TLS是同一个协议的一部分。大多数技术(如VPN)都会将SSL/TLS一起列为他们的安全措施之一,作为私人浏览的连接方式。这两个协议是同一件事——可以加密双方之间的数据,并保证信息安全的数字证书。TLS只是SSL的升级版,TLS证书也叫SSL证书。如果不确定的话,最好的办法是询问数字证书颁发机构(如:沃通CA),他们可以帮助。搜索引擎优化和SSL已经知道谷歌已经开始奖励那些实施了SSL的网站,使其具有更好的搜索可见性,但是拥有SSL证书还能给
博客
SSL证书无效是什么原因以及解决方法
10-21 1万+
出现“SSL证书无效”这种情况只会发生在https网站上,如果访问时出现了SSL证书无效的提示,那么SSL证书肯定是有问题的。下面将为您介绍SSL证书无效是什么原因以及解决方法具体的原因及解决办法如下:一、页面包含有不安全的内容目前都提倡每一个页面使用https,则网站所有的内容都必须是https。如果遇到图片、JS脚本,FLASH插件是通过http方式去调用的,就会发生SSL证书无效的提示。解决方法:将调用的元素http改成https即可,然后刷新测试SSL问题是否已经解决。二、使用了自签
博客
漏洞扫描真的可以防范网络安全问题吗?
10-19 731
很多用户从最开始接触电脑的时候就了解过网络安全问题,我们熟知的病毒、黑客、漏洞等都是比较常见的网络安全威胁,那么有什么办法可以预防这些网络安全问题吗?网络安全技术毫无疑问是预防安全威胁的最有效措施,但市面上各种网络安全技术种类驳杂,他们的防范效果和效率到底哪个更高呢?下面带大家来了解漏洞扫描相关的网络安全技术内容。漏洞扫描真的可以防范网络安全问题吗?很多人会产生这个疑问,最直接的原因就是在很多病毒查杀或者系统检查软件检查电脑问题时,经常出现漏洞数量达到一定数量,但这些漏洞并不影响我们正常上网。由此,
博客
关于SSL证书10大统计数据
10-19 136
自HTTPS采用以来,SSL证书已经走过了漫长的道路。十年前,只有大公司和购物网站会使用SSL证书进行加密传输数据,而如今,所有网站都必须进行加密,无论网站类型和大小。随着越来越多的用户在网上分享敏感数据,因此,保护这些数据不被窃取变得至关重要。浏览器和证书颁发机构的最终目标是加密整个互联网。虽然现在还没有完全达到目标,但谷歌等服务的加密流量已经远远超过了90%。为了更好地查看HTTPS的普及情况,我们可以通过SSL证书的10项统计数据来了解。1、已有1.57亿张SSL证书应用于互联网根据Bui
博客
怎样正确选择DDoS防御服务?请保存好这几项方案
10-19 245
在信息时代,网络安全问题是很多人所关注的问题,其中最受关注的无疑是网络攻击。无论是网络病毒攻击,还是网络黑客潜入,都会给我们的数据信息隐私以及系统安全造成不可挽回的后果。在各类型网络攻击当中,ddos攻击是最简单粗暴并且有效的一种攻击方式,围绕着这一攻击产生的ddos防御也成为网络安全防范中不可忽视的内容。对于互联网企业来说,应该如何正确选择ddos防御服务呢?互联网企业应不应该进行ddos防御的设置是很多小微型互联网企业会考虑的一个问题。而在最近这段时间,ddos防御相关内容成为小微企业极为重视的安全
博客
如何选择合适的代码签名证书?
10-18 255
很多软件开发商为软件程序做数字签名时不知道选择哪款代码签名证书,或是在不同品牌代码签名证书中犹豫不决。本文将对常用的Digicert、Sectigo、Globalsign的代码签名证书做详细介绍,以便让有需要的人能清楚地选择自己合适的证书。Digicert、Sectigo、Globalsign代码签名的相同点常用的代码签名证书品牌主要包括Digicert、Sectigo、Globalsign等,它们都能提供OV代码签名证书(也叫普通代码签名/标准代码签名证书)和EV代码签名证书。不论是OV代码签
博客
数据安全时代的ssl证书应当如何选择呢
10-12 129
信息技术的发展和进步不仅带来了生活的便利以及工作的高效率,同时也带来了信息和数据安全问题。众所周知互联网信息时代下,每个人的信息在网络上几乎是透明的,如何保证自己的信息隐私以及数据安全,对于信息时代的每个人,以及信息时代的各个企业都是极为关键的内容。ssl证书是什么呢?ssl证书就是一种使用了ssl协议的证书,它与我们日常所使用的驾驶证、营业许可证等证书在性质上是一样的,拥有ssl证书也就相当于配置服务器中遵循了ssl协议,由受信任的数字证书颁发机构为其提供的证书,在验证ssl证书后,具有服务器的身
博客
WHQL徽标认证申请流程
10-11 460
随着Windows 10版本的发布,微软对WHQL徽标认证的申请流程做了相应的更改。下面将最新WHQL认证申请流程分享出来,方便大家更加顺利地获得WHQL认证。WHQL认证申请流程申请WHQL认证主要有以下几个步骤:1.申请EV代码签名证书申请EV代码签名证书主要为了创建AzureAD账户和提交测试LOG,微软要求必须是Entrust, Symantec, Digicert, Globasign等权威CA机构颁发的EV代码签名证书。2.申请Azure AD账户目前微软WHQL认证的网
博客
企业为什么一定要选择ssl证书呢?
10-11 118
不知道大家在上网的时候有没有注意过一个问题,当我们跳转某些网页时,会出现浏览器或者软件的报警,说此网站的证书不符合安全规范,或许存在风险。这个时候大家就会对接下来要浏览的网站产生怀疑和不信任的情绪。这也是我们今天讨论的互联网企业在构建网站和运行网站时为什么要选择ssl证书的问题。ssl证书是什么呢?ssl证书是一类遵循ssl协议的证明。互联网企业在构建自己的网站时,除了进行网站基础结构的架构,网站内容的设计以外,还需要对网站的安全信息进行认证,ssl证书就是其中极为重要的一种认证,也是目前网络安全工
博客
SSL证书建立连接方法以及数字证书选购技巧分享
09-30 489
当用户试图访问受SSL保护的网站时,浏览器和网络服务器使用一个叫做SSL握手的过程来建立SSL连接。需要注意的是,SSL握手过程对用户来说是不可见的,会立即发生。那SSL证书是如何建立连接的呢?用户该如何选购合适的SSL证书呢?一、SSL证书建立连接方式事实上,有三个密钥来设置SSL连接:公共,私有和对话密钥。任何用公钥加密的内容都只能用私钥解密,反之亦然。由于对私钥和公钥进行加密和解密需要消耗大量的服务器资源,因此只能在SSL握手时使用它们来创建对称的会话密钥。会话密钥用于对所有传输的数据进行
博客
企业如何选择合适的SSL证书呢?
09-30 113
各种网络信息泄露事件不断发生,给企业和国家造成了巨大的经济损失,企业信誉也大大下降。为实施https加密而部署SSL证书的网站可以有效地防止数据篡改和隐私窃取;同时,它还能阻止运营商越来越疯狂地劫持数据。为保障信息安全,企业采取防范措施是十分有必要的。那么,如何正确地选择SSL证书?一、域名的数量不同,公司选择的SSL证书种类不同,如OV SSL证书还分为:单域名SSL证书,适用于一个子域名或一个主域名。如果存在多种不同的域名,则使用多域名SSL证书。一个通配符SSL证书,可以保护很多子域名
博客
微软内核代码签名交叉证书到期了,WHQL认证至关重要
09-26 480
微软的新政策指出,受微软信任的第三方内核模式代码签名交叉证书,将于2021年4月全部到期。微软将成为Windows内核模式代码签名的提供商。受该政策影响,各个品牌的代码签名证书都已到期,到期时间见下图。2021年4月15日前,已签名的驱动内核程序,如果签名时加了时间戳,则不受微软交叉证书到期的影响。2021年4月15日后,新颁发的代码签名证书将不支持驱动内核模式签名,怎么办呢?有什么好的解决方案呢?可以通过CA给您的内核驱动程序进行WHQL认证,然后将认证后的驱动提交给微软签名就好了。.
博客
硬件驱动为什么要有WHQL数字签名
09-24 676
硬件驱动要有WHQL数字签名才能实现正常安装、启动、运行,并实现驱动静默安装。目前的桌面操作系统中,Windows系统市场占有率处于优势,Windows 的各个版本的系统加起来几乎占领了大部分市场。所以很多工业和行业的硬件设备都要考虑兼容在Windows系统上使用,这个使用过程中难免涉及设备的驱动使用(驱动是硬件设备和Windows系统联接传输数据的桥梁,没有驱动的硬件设备是无法正常工作的),但Windows系统对驱动的安装、启动、运行有一个较重要的要求,那就是相关的驱动文件需要加上数字签名。如果该
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值