网络安全中什么是WAF绕过?它又是如何被绕过的?

最新推荐文章于 2023-11-13 16:21:24 发布
最新推荐文章于 2023-11-13 16:21:24 发布
阅读量498 收藏
点赞数
文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldboyedu1/article/details/128419040
版权

  相信对网络安全有一定的同学一定听到过WAF绕过这个名词,什么是WAF绕过?它又是如何被绕过的?以下是详细的内容:

  什么是WAF绕过?

  与传统的Firewall (防火墙) 不同,WAF针对的是应用层,它是Web应用防火墙,全称为Web Application Firewall,通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品。

  WAF可以发现和拦截各类Web层面的攻击,记录攻击日志,实时预警提醒,在Web应用本身存在缺陷的情况下保障其安全。也是一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。

  WAF又是如何被绕过的呢?

  在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。

  首先,WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面,而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、骚操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。

老男孩IT教育
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用搜索引擎蜘蛛绕过waf进行攻击
Coisini的博客
06-12 465
我们在写网站防火墙规则的时候可能都会做一件事:永远不屏蔽那些主流搜索引擎机器人的爬取(如,Google,Bing,Yahoo,Baidu等). 至今,我们觉得这样很好,但是现在我们时不时地碰到一些奇怪的现象,不得不让我们思考一个问题,如果一个合法的搜索引擎机器人被用来攻击网站那会怎样?难道我们仍然让这样的攻击畅通无阻而不去屏蔽他? 这种情况几天前确实在我们的一个网站上发生了,我们要开始屏蔽Go...
waf绕过(上)
qq_45300786的博客
10-07 336
WAF检测机制其实很简单,核心就是正则匹配,(就是你们学过的正则匹配),虽然说还有字符串强行匹配,还有什么语义解析,但是实际上还是正则居多。 我们先来安装一个waf,这里我用的是安全狗。 在安装waf的时候,一定要把容器的运行模式(这里我用的是phpstudy)调成系统服务。 拼接mysql语句,成功拦截 通过正则匹配,如果符合规则,就拦截。and 1=1拦截 我们这个进行XSS,被狗拦截 但是在传参前面加个合法的txt文件就绕过了,不过这只适合低版本的狗。 我们的sql语句必须要连起才会被.
WAF是什么东西?!--- 3 waf绕过
WM_NNXX的博客
08-09 783
想法:waf绕过是门学问,记得sqlmap的使用有提到绕过waf的概念,输入数据的时候也要考虑到waf的影响,尤其是写一句话木马的时候,有的时候需要多次的嵌套来绕过waf的正则检测。听安全大佬们说,waf这东西对于渗透高手来说没啥卵用,形同虚设,但咱也不知道啊,咱也不敢问啊,可咱可以学啊,哈哈哈哈!!! ** 思想 ** 基本思想:是转换我们需要的请求,这样它对web应用程序仍然有效,但对WAF...
WAF绕过讲解
weixin_55837124的博客
06-18 620
WAF绕过 WAF 在实际的渗透测试过程,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。 首先,WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是
WAF绕过
Z_l123的博客
02-19 1918
实验原理 WAF (Web Application Firewall)的文名称叫做"Web应用防火墙",通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止SQL注入,跨站脚本(XSS)、文件包含和安全配置错误等漏洞引发的攻击。 作为攻击者来说,常见的绕过WAF的方式包括大小写变换、编码、重写、巧用注释符、巧用盲注、同功能函数替换等。其,重写适用于WAF只过滤一次敏感字的情况。比如 WAF过滤敏感字union,但只过滤一次,则可以写出类似ununionion这样的,过滤一次union后就会执行
waf绕过详解
热门推荐
zdy8023的博客
04-13 1万+
目录 waf防护原理讲解 目录扫描绕过waf 手工注入绕过waf sqlmap注入绕过waf 编写sqlmap绕过waf脚本 过waf一句话编写讲解 菜刀连接绕过waf webshell上传绕过waf 提权绕过waf waf绕过原理详解 了解waf防护原理 查看waf防护位置 熟悉防护规则 了解防护机制 查看拦截时间阀值 我们可以下载一个安全狗,查看它详细的防护机制,...
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
分块绕过WAF.zip
02-27
这是一个绕过WAF的方法,大家能够学习到如何绕过的方法。能够提升自己的技术水品。
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
Python-WhatWaf检测并绕过Web应用程序防火墙和保护系统
08-10
WhatWaf通过检测Web应用程序上的防火墙并尝试检测指定目标上的防火墙的旁路(或两个)来工作。
WAF是如何被绕过
06-21
以一些实际的WAF产品为例,了解它们的基本原理,它们存在的缺陷,以及攻击者是如何利用它们的缺陷让它们形同虚设的。我们应当更注重于注重自身系统和应用的安全,不能以为有了WAF就可以高枕无忧。
WAF
公众号shadow sock7
06-12 1386
参考: https://mp.weixin.qq.com/s/Qn-zh7SwG9wA3dGEz_AEqA 各类WAF是渗透测试人员的一项基本技能。WAF分为 云WAF(如 加速乐) 硬件WAF(如 绿盟WAF) 软件WAF(如 安全狗) 代码级WAF mysql注入关键字替换。如在mysqlWAF将sleep()函数加入黑名单,可以用具备相似功能的benchmark()函数实现绕过。部分
如何绕过 Web 应用程序防火墙(WAF)?
大方子
09-23 4068
在 Web 应用程序发现远程命令执行漏洞并不罕见,「OWASP Top 10 2017」榜单,把“注入”放在第一位,就可见一斑:   当攻击者把作为命令或查询的不可信数据发送给解释器时,会产生注入漏洞,如 SQL,NoSQL,OS 和 LDAP 注入。攻击者的数据可能会诱使解释器执行意外的命令或在没有授权的情况下访问数据。   所有现代 Web 应用防火墙都能拦截 RCE 尝试,但...
WAF绕过技术系列文章(一)
Fly_鹏程万里
12-28 1732
在Web应用,发现远程命令执行漏洞并不罕见,在2017年,OWASP前10位的安全威胁,注入位于第一: 注入漏洞,例如SQL、NoSQL、OS和LDAP注入,一般发生在服务器执行命令或查询时,因有不可控的数据掺杂其,所导致的异常反馈。攻击者通过输入恶意数据可能诱使系统去执行意料之外的命令或造成敏感数据泄露。 所有现代的Web防火墙(WAF)都具有拦截远程命令执行(RCE)的能力,...
黑客是如何绕过WAF
weixin_33919941的博客
11-17 465
1.什么是WAF Web Application Firewall 通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击。 目前主要有单设备WAF与云WAF 2.WAF的现状 1.太多数WAF能够拦截较为普通的WEB攻击 2.大多数WAF没有针对热点漏洞奇葩攻击EXP防御的能力 3.基本所有的WAF都存在策略...
HTTPWAF之浅尝辄止
小王的储物间
02-03 626
最近参加重保,和同事闲聊时间,谈起来了外网,彼时信心满满,好歹我也是学了几年,会不少的。结果,扭头看完do9gy师傅的《腾讯 WAF挑战赛回忆录》,就啪啪打脸了。说来惭愧,最近一段时间,拿到offer就开始飘起来了,现在悔不当初,于是就想写一篇关于这篇Http首部字段文章的"训诂篇"出来,一来当做知识巩固,二来算是完善些和首部字段相关的知识点(可会因为见识不足,导致遗漏)。毕竟,小白可能这方面了解不多,只了解Cookie和Agent这种常见类型的首部字段,却很少听过Accept-
网络安全WAF概述及各项功能
命运的旋律的博客
12-05 3791
WAF概述及各项功能 文章目录WAF概述及各项功能01.WAF的基本概念四大基本作用WEB安全业务连续系统加速数据分析02.WAF概述及各项功能WEB攻击防护敏感信息防泄漏网页防篡改DDOS防御DDOS攻击DDOS防御WEB扫描03.WAF的部署WAF的组网结构 01.WAF的基本概念 四大基本作用 WEB安全 WEB攻击防护 敏感信息防泄漏 网页防篡改 业务连续 DDOS攻击防御 系统高可...
网络安全-WAF技术介绍
wangtd的博客
11-13 648
Web应用程序防火墙(WAF)是一种专门设计来保护Web应用程序免受各种网络攻击的安全解决方案。它与传统的网络防火墙不同,专注于监控、分析和控制向Web应用程序发送的HTTP/HTTPS流量。WAF位于应用层(OSI模型的第七层),能够深入了解Web应用程序的工作方式和面临的安全威胁,从而提供更为精确和细致的保护措施。云基础WAF作为服务(WAF-as-a-Service)提供,由第三方供应商托管,并通过云计算平台运行。
网络安全WAF是什么?
最新发布
03-11
网络安全WAF(Web Application Firewall)是一种用于保Web应用程序免受各种网络攻击的安全设备或服务。它通过监控、过滤和阻止对Web应用程序的恶意流量和攻击,提供了一层额外的安全防护。 WAF可以检测和阻止常见的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值