使用 Azure WAF 羞辱黑客的智商

点击上方蓝字关注“汪宇杰博客”

导语

还记得之前给大家介绍过的《使用 Azure Web 应用防火墙拦截黑客攻击》吗？今天我又带来了一个有趣的 Azure WAF 小技巧，可以让你爽一把。

好奇的黑客

今天 Azure Application Insights 上发现了一段集中时间的404错误，点进去一看，是有人正在请求我博客根目录下不存在的资源导致的。

观察 pattern 后发现这些请求在尝试下载我博客的网站目录。看起来都是这样的：

还有这样的：

以及更搞笑的拼音：

甚至还有想要盗窃源代码的（大哥，我这是个开源的系统啊）：

起初我以为是个自动扫描网站漏洞的机器人，但是根据 Azure Application Insights 提供的详细数据以及 WAF 日志发现，这些请求并不是几秒内发生的，而是相隔2-5秒请求，不像机器人，来源地是中国某港。

大哥，不是所有的大陆人都是用百度云把网站目录同步到服务器上解压部署的……

于是我决定逗他玩玩。

整人方案

目前网站对于这些找不到的文件只会返回404，太没意思了。想要玩转黑客，可以有这么几种做法：

蜜罐

“

蜜罐通常伪装成看似有利用价值的网络、资料、电脑系统，并故意设置了bug，用来吸引黑客攻击。由于蜜罐事实上并未对网络提供任何有价值的服务，所以任何对蜜罐的尝试都是可疑的。蜜罐中还可能装有监控软件，用以监控黑客入侵后的举动。

蜜罐在拖延黑客攻击真正目标上也有一定作用。不过黑客可能发现一个电脑系统是蜜罐，进而提前退出。

”

架设蜜罐的成本较高，我不想996，因此放弃此方案。

假数据

一个简易版蜜罐。例如对于 beifen.zip，返回一个真实的zip文件，文件内容看似网站代码，但其实无关。让黑客996于代码的海洋中无法自拔。

也可以在假zip中设置几个关卡，例如弱口令，当黑客996暴力破解后，发现里面是一万个 fuck.txt，气晕在厕所。

这个方案对于网站服务器或CDN的带宽资源有所消耗，黑客被气到后，可能批量请求 beifen.zip 榨干我的流量，因此放弃。

Exploit

如果你的技术高超，完全可以做个exploit，黑客一旦打开 beifen.zip 就会执行代码，从而变成你的肉鸡。这时候，给他执行个灭霸脚本，岂不爽歪歪？

https://github.com/hotvulcan/Thanos.sh

可惜我没有那样的本领，无奈放弃此方案。

重定向

有些服务器对于恶意请求，会重定向到 127.0.0.1 或者 localhost，从而将黑客的攻击还治其人之身。

但更有意思的是，我们可以重定向准备好的羞辱页面，甚至其他网站。这是成本最低的羞辱方案，说干就干！

能点鼠标的，绝不写代码

尽管我们可以通过修改网站代码来实现针对 *.zip, *.rar, *.7z 等资源进行重定向，但作为使用 Azure 的有钱人，能点鼠标实现的，我绝对不会自己996写代码。

Azure WAF 可以帮助我们1分钟就配置完重定向操作，不需要修改任何代码，不需要重新部署网站。这才是有钱人的风格。

进入 WAF 管理界面，进入 Settings 下的 Custom rules，然后点击 + Add custom rule

给它一个名称，例如 BlockZip。Status 选 Enabled，Rule type 选 Match。Priority 给一个未被其他 rule 使用的值即可。

Condition 是该规则的触发条件。我们需要匹配所有 *.7z, *.rar, *.tar.gz, *.zip 的请求，配置如下：

最后的动作中，我选择 Redirect traffic，将URL设为一个友好的百度百科页面。

保存规则，WAF 数分钟后就会生效。

效果

现在访问 https://edi.wang/beifen.zip 试试？

发现请求结果不再是 404，而是302重定向，并且header里给出了Azure WAF的日志参考ID。

而重定向后的页面就是：

黑客只能气晕在厕所。

哎，有钱人的云，就是可以为所欲为的。

汪宇杰博客

Azure | .NET | 微软 MVP

无广告，不卖课，做纯粹的技术公众号

喜欢本篇内容请点个在看