WAF防护原理和绕过姿势

最新推荐文章于 2024-06-03 20:04:33 发布
最新推荐文章于 2024-06-03 20:04:33 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: 渗透测试 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuaindl/article/details/113343859
版权

目录

 

什么是WAF

WAF的种类

WAF部署在哪里

绕WAF的理解

Bypass WAF 姿势

基于IP封锁

基于规则问题

基于解析差异

什么是WAF

定义:web应用防火墙(Web Application Firewall),通过执行一系列针对HTTP/HTTPS的安全策略来防御对web应用的攻击。

WAF的种类

  • 源码防护:

       程序员在开发时使用过滤函数对恶意代码进行过滤。对于这类的绕过思路主要是大小写替换、编码绕过、截断等方式,只要在代码中找到过滤函数就比较容易绕过。

  • 软件WAF:

      主要通过访问速度、指纹识别等特征进行拦截,软件WAF侧重拦截WEB漏洞。主要有安全狗、云锁等

  • 硬件WAF:

      主流防御流量和部分WEB攻击,常见硬件WAF如天融信、启明星辰、深信服、安恒等。 

  • 云WAF:

      如阿里云等。

WAF部署在哪里

在测试的过程中我们要知道WAF一般主要是部署在那个节点,这对我们绕过WAF时有很大帮助。通过下图我们可以大概了解:

 

绕WAF的理解

在我自己看来,所谓的BYPASS WAF实际上是去寻找位于WAF设备之后处理应用层数据包的硬件/软件的特性。利用特性构造WAF不能命中,但是在应用程序能够执行成功的载荷,绕过防护。

那些特性就像是一个个特定的场景一样,一些是已经被研究人员发现的,一些是还没被发现,等待被研究人员发现的。当我们的程序满足了这一个个的场景,倘若WAF没有考虑到这些场景,我们就可以利用这些特性bypass掉WAF了。

由于各个层面可以利用的特性很多,而且WAF往往要考虑自身的性能等等方面,导致了WAF往往会留下一些软肋。

Bypass WAF 姿势

基于IP封锁

在现实的测试过程中会遇到许多在进行几次操作后被封IP的情况。其主要是:

  • 基于http请求头封锁IP

可使用burp suite插件fake-ip进行绕过

  • 基于TCP封锁IP

使用IP代理池不断切换真实IP

基于规则问题

根据WAF返回结果

替换关键字:大小写、/**/替换空格、替换语句。

代理模式

使用垃圾数据等高并发流量,导致设备切换Bypass

IPS模式

分片问题:巨大的Content-Length导致设备Bypass、解码较弱。

基于解析差异

  • 通过业务特性绕过
GET /index.php?id=’an\d''=' HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

在某些业务中,一些字符会被替换成空(如很多利用json来传递数据的网站很多会把凡斜杠\替换成空,这种则可以利用burpsuit进行fuzzing查找被处理掉的字符),利用这个就可以用来绕过waf:an\d‘’=‘会变成’and‘’=’,导致waf绕过. 

  • 特殊字符绕过
GET /index.php?id='a%efnd''=' HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close

 测试%[80-ff]都可以,具体可以fuzzing来查找

  • Mutilpart变量覆盖绕过
POST /index.php HTTP/1.1
Host: localhost
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: multipart/form-data; boundary=--------1099641188
Content-Length: 101

----------1099641188
Content-Disposition: form-data; name=“id;filename=xx”;name=“id”

'and''=‘
----------1099641188--

 有些waf检测filename这个属性存在的时候下面的内容则不进行sql注入检测,因此可以构造同名参数前面一个name包含filename这个属性,后面再加一个正常的name属性,但是apache解析的时候会解析后面那个name属性,从而导致waf绕过。

  • Mysql特性使用/*!%0a*/绕过
  • 通过编码饶过
  • 使用截断字符
  • 重复变量
  • 参数解析差异
  • 针对域名的保护
  • Content-Type不同理解
  • 超大数据包
  • Post不同解析方式
  • 异常数据包

 

特性就像是一个个特定的场景一样,一些是已经被研究人员发现的,一些是还没被发现,等待被研究人员发现的。

随着一个个特性的发现,WAF的防护能力在web对抗中逐渐增强,在我看来,当所有的特性场景均被WAF考虑到的时候,势必就会有的新的发现。

因此我们不用担心当所有的特性被WAF考虑到的时候我们无计可施,未知的特性那么多,我们还有很多地方可以去挖掘。

 

当你发现这些姿势都不好使的时候,你就该去发现一些新的特性了,毕竟设计WAF的选手都是基于目前的认知下去设计的,当新的特性出现的时候,势必又是一波bypass

易小简
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
搭建漏洞环境及实操
zzzzzzcq的博客
04-07 379
什么是WAF? WEB应用防火墙 (Web Application Firewall) 定义:通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击。 WAF绕过方法 1. 大小写混合 在规则匹配时只针对了特定大写或特定小写的情况,在实战中可以通过混合大小写的方式进行绕过(现在几乎没有这样的情况),如下所示。 uNion sElEct 1,2,3,4,5 2.URL编码 极少部分的 WAF 不会对普通字符进行 URL 解码,如下所示。union select 1,2,3,4,...
WAF原理绕过(成功绕过某狗)
weixin_44174581的博客
07-24 360
绕过截图 测试网站sqli-labs/Less-11,hackbar被拦截,burp成功绕过报错 原理解析 https://blog.csdn.net/qq_36119192/article/details/90113167 https://www.freebuf.com/news/193659.html
46、47-绕过WAF(Web应用程序防火墙)--介绍、主要功能、部署模式、分类及注入绕过方式等
最新发布
XLbb的博客
06-03 1461
网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。能够为用户提供实时的网站安全;IP黑白名单功能允许用户设置个性化的IP信任列表,直接屏蔽或者允许指定IP访问网站。同时,增加iP临时黑名单功能,以及实现了针对某个功能的iP白名单功能。同时,爬虫白名单提供爬虫信任机制,在出现误拦截情况下,允许用户自定义爬虫信任。
WAF的工作原理绕过浅析
jj1130050965的博客
08-01 453
渗透测试 目录 WAF WAF的判断 WAF的工作原理 基于规则库匹配的WAF WAF绕过 域名转换为ip WAF解析HTTP请求阶段绕过 分块编码(Transfer-Encoding)绕过WAF 其他 WAF匹配规则阶段绕过 利用溢量数据绕过WAF 其他 结语 WAF 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF绕过,而
WAF详解及WAF绕过
赤赤三的博客
03-20 8776
waf(web application firewall): 原理: web应用防火墙,一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。(核心其实也是基于规则的防御)| 任何工具(Awvs、IPS、IDS)其实都是基于规则进行匹配,最多加个爬虫功能 功能: 网马|木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90% 网站漏洞防御
(18)【WAF绕过WAF部署、绕过分析和原理、注入绕过WAF方法
02-27 6840
WAF绕过
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
上传绕过WAF的15中姿势
06-29
绕过WAF进行文件上传的文旦,可以学习一些姿势加以利用。
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
国外WAF绕过姿势.pdf
05-09
Web应用程序防火墙(WAF);应用程序 独立于开发人员保护的设计和web应用程序 是为攻击提供特殊保护的系统。此外,应用程序开发人员 他们自己的功能也有问题
WAF是时候跟正则表达式说再见-破见
11-03
WAF是时候跟正则表达式说再见-破见。难得的PPt学习资料
渗透测试——WAF绕过原理
qq_33441500的博客
10-15 922
渗透测试——WAF绕过原理 WAF绕过必要条件 1,熟练掌握mysql函数和语法使用方法 2,深入了解中间件运行处理机制 3,了解WAF防护处理原理和方法 一,WAF绕过原理——白盒绕过 代码样例 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result=mysql_query($sql); ...
黑客是怎样绕过WAF之三重防护绕过讲解
weixin_34128501的博客
06-08 183
什么是WAFWeb Application Firewall通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击。目前主要有单设备WAF与云WAFWAF的现状1.太多数WAF能够拦截较为普通的WEB攻击2.大多数WAF没有针对热点漏洞奇葩攻击EXP防御的能力3.基本所有的WAF都存在策略性绕过4.由于waf的业务限制等各种原因导致存在通用绕过 WAF逻辑漏洞及白名单阶段的绕过...
WAF绕过的一些总结和思考,WAF怎么防绕过
07-09 637
WAF分类:1.网络层类2.最常见且容易部署的应用层类 (部署在APAC++HE之前,APAC++HE之后)应用层WAF – 利用WAF自身缺陷和MYSQL语法特性并结合实际绕过WAF最常见检测方式:关键词检测 例如 如果出现 [空格]union[空格] 这样的SQL语句则视为恶意请求,丢弃这个数据包,XSS代码同理。常见的绕过类型:类型1:数据包 -> WAF(利用...
waf一种绕过方法
weixin_43326436的博客
05-10 208
假如waf不允许num变量传递字母,可以在num前加个空格,这样waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符 ...
WAF专题5 -- WAF动作
debugeeker的专栏
05-31 442
WAF每条规则都会配置动作,对命中规则的请求进行对应的处理。 每个WAF产品对动作定义不大一样。 剩余内容请关注公众号"debugeeker",链接为https://mp.weixin.qq.com/s/m1hbAiINO9dKwZlWsQHzkQ ...
sql注入之waf绕过1()
weixin_52699809的博客
12-06 394
常用于过滤空格等将空格替换为/*11*/ ,把11换成 !*/ 放入bp爆破未完待续
常见6种WAF绕过防护原理
热门推荐
07-08 1万+
关于上传绕过WAF姿势
"双重WAF绕过实战:玄武盾与SQLMap联合攻击
在渗透测试过程中,遇到双重 WAF 是一种常见的情况,掌握绕过技巧和方法可以极大提高渗透测试的效率和成功率。 需要注意的是,使用 sqlmap 进行渗透测试时,一定要遵守法律和道德准则,只能在合法授权的情况下进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值