waf针对用户请求/上传内容编解码操作

最新推荐文章于 2023-08-16 11:00:00 发布
最新推荐文章于 2023-08-16 11:00:00 发布
阅读量483 收藏
点赞数
分类专栏: 应用安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/109232962
版权

http请求数据进行解码

针对用户请求/提交的数据进行解码操作,以免存在绕过waf的请求,导致恶意payload被后端执行。

在观察模式下解码操作可以配合response分析一起来使用,用以判断请求-响应是否一个完整的恶意攻击,如果是一个完整的编码绕过攻击,形成攻击知识库。

 

例如某些商业化成熟的waf产品,在针对xss攻击payload识别时,在用户提交一个字符量很大的请求,利用词法分析只提取某些某一段字符进行分析,这些字符是可以被解析器执行的。从而大大节省无用的匹配操作减少性能损耗,真正的把攻击或疑似攻击的payload提取出来进行检查。

 

如下代码仅提供解码的思路,在waf实际工作中,针对编码识别是一个很大的工程。

针对http get请求的url参数(query string)解码过滤。也可以针对http post上传内容进行解码过滤。

   --base64解码
   base64_decode = function(value)
        if not value then return end
        --判断是否是base64编码
        --if ngx_re_match(value,"^([A-Za-z0-9+/]{4})*([A-Za-z0-9+/]{4}|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{2}==)$") ~= nil then
            local t_val = ngx_decode_base64(tostring(value))
         
            if t_val then
                ngx.log(ngx.ERR,'Decode successful, before decoded value is '..value..' after decode is '..t_val)
                return t_val
            else
                return value
            end
            return value
    end,
    --base64编码
    base64_encode = function(value)
        if not value then return end
            local t_val = ngx_encode_base64(value)
            return t_val
    end,
    --css解码
    css_decode = function(value)
        if not value then return end

            if not value then return end

            local len = #value
            local buf = decode_buf_helper(value, len)

            local n = decode_lib.css_decode(buf, len)

            return (ffi_str(buf, n))
    end,
    --命令行处理
    cmd_line = function(value)
        if not value then return end
            local str = tostring(value)
            str = ngx_re_gsub(str, [=[[\\'"^]]=], '',  'oij')
            str = ngx_re_gsub(str, [=[\s+/]=],    '/', 'oij')
            str = ngx_re_gsub(str, [=[\s+[(]]=],  '(', 'oij')
            str = ngx_re_gsub(str, [=[[,;]]=],    ' ', 'oij')
            str = ngx_re_gsub(str, [=[\s+]=],     ' ', 'oij')
            return string_lower(str)
    end,
    --空格处理
    compress_whitespace = function(value)
        if not value then return end
            return ngx_re_gsub(value, [=[\s+]=], ' ', 'oij')
    end,
    --十六进制解码
    hex_decode = function(value)
        if not value then return end
            return util.hex_decode(value)
    end,
    --十六进制编码
    hex_encode = function(value)
        if not value then return end
            return util.hex_encode(value)
    end,
    --html解码
    html_decode = function(value)
        if not value then return end
            local str = hdec.decode(value)
            return str
    end,
    --js解码
    js_decode = function(value)
        if not value then return end

        local len = #value
        local buf = decode_buf_helper(value, len)

        local n = decode_lib.js_decode(buf, len)

        return (ffi_str(buf, n))
    end,
    --string长度计算
    length = function(value)
        if not value then return end
        return string_len(tostring(value))
    end,
    --大小写
    lowercase = function(value)
        if not value then return end
        return string_lower(tostring(value))
    end,
    --MD5转换
    md5 = function(value)
        if not value then return end
        return ngx_md5_bin(value)
    end,
    --路径字符串处理
    normalise_path = function(value)
        if not value then return end
        while (ngx.re.match(value, [=[[^/][^/]*/\.\./|/\./|/{2,}]=], 'oij')) do
            value = ngx_re_gsub(value, [=[[^/][^/]*/\.\./|/\./|/{2,}]=], '/', 'oij')
        end
        return value
    end,
    --windows路径字符串处理
    normalise_path_win = function(value)
        if not value then return end
        value = string_gsub(value, [[\]], [[/]])
        return _M.lookup['normalise_path'](value)
    end,
    --移除注释字符
    remove_comments = function(value)
        if not value then return end
        return ngx_re_gsub(value, [=[\/\*(\*(?!\/)|[^\*])*\*\/]=], '', 'oij')
    end,
    remove_comments_char = function(value)
        if not value then return end
        return ngx_re_gsub(value, [=[\/\*|\*\/|--|#]=], '', 'oij')
    end,
    --移除\0空字符
    remove_nulls = function(value)
        if not value then return end
        return ngx_re_gsub(value, [[\0]], '', 'oij')
    end,
    --移除空格
    remove_whitespace = function(value)
        if not value then return end
        return ngx_re_gsub(value, [=[\s+]=], '', 'oij')
    end,
    --字符替换操作
    replace_comments = function(value)
        if not value then return end
        return ngx_re_gsub(value, [=[\/\*(\*(?!\/)|[^\*])*\*\/]=], ' ', 'oij')
    end,
    replace_nulls = function(value)
        if not value then return end
        return ngx_re_gsub(value, [[\0]], ' ', 'oij')
    end,
    sha1 = function(value)
        if not value then return end
        return ngx_sha1_bin(value)
    end,
    --sql-hex解码
    sql_hex_decode = function(value)
        if not value then return end
        if string_find(value, '0x', 1, true) then
            value = string_sub(value, 3)
            return util.hex_decode(value)
        else
            return value
        end
    end,
    --字符串左右剪切
    trim = function(value)
        if not value then return end
        return ngx_re_gsub(value, [=[^\s*|\s+$]=], '')
    end,
    trim_left = function(value)
        if not value then return end
        return ngx_re_sub(value, [=[^\s+]=], '')
    end,
    trim_right = function(value)
        if not value then return end
        return ngx_re_sub(value, [=[\s+$]=], '')
    end,
    --uri解码
    uri_decode = function(value)
        if not value then return end
        return ngx_unescape_uri(value)
    end,

 

securitysun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAF的那些事
qq_41453632的博客
12-14 982
WAF(web应用防火墙):是通过执行一系列针对http/https的安全策略来专门为web应用提供保护的一款产品。 waf分类 软件型waf(安装在服务器上,直接检测服务器上是否存在webshell,是否有文件被创建) 硬件型waf(当串联到链路中可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截) 云waf(一般以反向代理的形式工作,通过配置ns记录或cname记录,使对网站的请求...
如何借助SharkCDN工具,部署WAF(应用防火墙)系统
flow17的博客
12-15 4441
应用防火墙 点击CDN管理-站点列表-双击域名,进入站点管理界面 1、防cc设置 CC攻击是DDOS(分布式拒绝服务)的一种,相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP,见不到特别大的异常流量,但造成服务器无法进行正常连接 1.常规设置 防CC我们后台提供了四种选择,三种固定模式,只需要选择就行,还一种是自定义模式,可以根据情况自行修改频率和防御规则,提升防御效果 防CC自定义模式代码: 2、白名单设置 (1) .URL白名单如果有不想经过防CC规则
编码导致的WAF安全性研究
wangluoanquan111的博客
08-16 107
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
waf可以查看post请求吗_WAF(Web应用防火墙)浅析
weixin_39731845的博客
12-01 632
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-network1、关于WAFWAF(Web Application Firewall,Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提...
【HTML】Base64编码
joanmelon的博客
12-20 2652
☀️大家好,我是宾果的救星~希望记录的学习和收获能够帮助大家在开发过程中得到思路并且解决难题。希望大家多多点赞~爱你们哟~
WAF基础知识
u011975363的专栏
07-16 899
waf处理逻辑 取得用户请求数据 将数据与异常请求判定的正则进行匹配 发现请求有异常就进行拦截动作 waf部署方式 通过部署反向代理服务直接取得用户请求的http数据 通过硬件设备直接读取网络层数据在解析出用户请求的HTTP数据 通关读取网卡流量取得用户数据 ...
天融信WAF安装和用户手册
03-16
天融信官方WEB防护系统的用户手册和安装手册
WAF防火墙工具源码-SafeLine
最新发布
06-10
一个简单、轻量级、安全且广受好评的 Web 防火墙工具WAF。基于Nginx开发,并连接成反向代理。保护您的web应用免受常见攻击和利用。
渗透测试必备神器SQLMAP的所有绕waf脚本合集
10-18
SQL注入攻击是黑客利用应用程序处理用户输入时的疏忽,将恶意的SQL代码注入到查询语句中,从而获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。而SQLMAP就是针对这一攻击方式设计的利器。 在对抗...
明御WEB应用防火墙-用户操作手册V3.0.4.3.3.doc
05-06
"明御WEB应用防火墙用户操作手册V3.0.4.3.3" 知识点: 1. 明御WEB应用防火墙简介 明御WEB应用防火墙(简称:WAF,WEB Application Firewall)是安恒信息结合多年应用安全的攻防理论和应急响应实践经验积累的基础上...
WAF的工作原理和绕过浅析
jj1130050965的博客
08-01 453
渗透测试 目录 WAF WAF的判断 WAF的工作原理 基于规则库匹配的WAF WAF的绕过 域名转换为ip WAF解析HTTP请求阶段绕过 分块编码(Transfer-Encoding)绕过WAF 其他 WAF匹配规则阶段绕过 利用溢量数据绕过WAF 其他 结语 WAF 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而
WAF如何应对payload编码绕过
focus on security
06-07 1596
web服务器在对外提供各种应用服务时,经常会遇到请求的payload经过混淆或者编码想要绕过web安全防火墙。 如果在http请求中添加编码很可能会绕过waf规则,甚至绕过语义分析。导致数据泄漏风险,本应该被拦截的请求,还是得到了请求对应的响应数据。 可以通过下面连接了解一下,想要绕过web安全防火墙经过处理的payload长什么样。这里是我参考owasp(感谢他们对web安全做出的贡献)整理的xss攻击方式,包含各种经过处理的payload绕过方法。 https://blog.csdn.net/re
搭建漏洞环境及实操
zzzzzzcq的博客
04-07 377
什么是WAF? WEB应用防火墙 (Web Application Firewall) 定义:通过执行一系列针对HTTP/HTTPS的安全策略来防御对Web应用的攻击。 WAF绕过方法 1. 大小写混合 在规则匹配时只针对了特定大写或特定小写的情况,在实战中可以通过混合大小写的方式进行绕过(现在几乎没有这样的情况),如下所示。 uNion sElEct 1,2,3,4,5 2.URL编码 极少部分的 WAF 不会对普通字符进行 URL 解码,如下所示。union select 1,2,3,4,...
Base64 编码 解码
彻底拆分,一切可控!
06-15 6031
BASE64和其他相似的编码算法通常用于转换二进制数据为文本数据,其目的是为了简化存储或传输。更具体地说,BASE64算法主要用于转换二进制数据为ASCII字符串格式。Java语言提供了一个非常好的BASE64算法的实现,即Apache Commons Codec工具包。本文将简要地讲述怎样使用BASE64以及它是怎样工作的。下面我们用BASE64对字符串进行编码:import java.io.B...
lua之base64加密和解密算法。
热门推荐
zwcwu31的专栏
08-30 1万+
local function encodeBase64(source_str) local b64chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/' local s64 = '' local str = source_str while #str > 0 do
Openresty(十六)ngx_lua模块
wzj_110的博客
09-16 2803
一 openresty官方ngx_lua文档 核心:只介绍'与http相关'的,辅助'场景'理解 openresty的cors配置 ① 获取url的查询字符串 ngx.var.VARIABLE 1)差异 ++++++++++++"共同点"++++++++++++ ngx.var.arg_xx与ngx.req.get_uri_args["xx"]两者都是为了获取请求uri 中的'查询字符串参数' 备注:get_uri_args,'get请求'传递的'查询字符串' +...
ngx映射到lua模块函数变量一览
每天积累一点,一年后你会发现,自己变化很大
07-03 1万+
ngx.arg[1]                脚本参数 ngx.var['arg_a']            取queryString的参数a #/nginx_var?a=hello,world ngx.say(...)                依次输出参数,带换行 ngx.print(...)                格式化输出,不带换行 ngx.var.name  
ngx_Lua模块中的加密api接口
fei的专栏
08-08 1万+
在Lua模块中提供了多种用于
只有在 WAF解析HTTP请求WAF匹配规则 两个地方进行绕过。
05-28
好的,你的第一个问题是关于绕过WAF...而在匹配规则时,攻击者可以针对WAF的规则进行绕过,例如使用一些特殊字符或者编码方式来避开WAF的检测。当然,WAF也在不断地更新和改进自己的规则和算法,以更好地防御这些攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值