概述
WAF(web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。文章目录一、WAF的工作原理二、WAF的常见功能三、WAF种类四、WAF的判断五、WAF的绕过六、WAF指纹七、部分WAF指纹
一、WAF的工作原理
WAF工作在web服务器之前,对基于HTTP/HTTPS协议的通信进行检测和识别。在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户的请求安全且有效,对无效或有攻击行为的请求进行阻断或隔离。
WAF的解决步骤大概可分为四部分:预备处理、标准检测、解决控制模块、系统日志记录。
1.预备处理
先分辨是不是HTTP/HTTPS请求,然后查询该URL请求是不是在权限以内,加入该URL请求在权限目录内,交到后端响应;没有则进行标准检验。
2.标准检验
不同的WAF有自有的检验规则,通过WAF标准去检验数据文件,查看是否有故意攻击行为。
3.解决控制模块
对于不一样的检验结果,会做出不一样的防御姿势。不同的WAF产品自定义的阻拦页面不一样,所以我们可以根据阻拦页面判断网站使用的是哪一种WAF,进而展开绕过。
4.系统日志记录
WAF在整个工作过程中,会将系统日志记录下来,便于分析。
二、WAF的常见功能
1、检测异常协议,拒绝不符合HTTP/HTTPS标准的请求。
针对HTTP和HTTPS的请求进行异常检测,阻断不符合请求的访问,并且严格的限制HTTP协议中没有完全限制的规则。
2、对可疑IP进行检查
3、禁止某些IP的访问
WAF可以指定规则,添加IP黑名单和白名单,限制IP的访问策略。
4、DDOS防护
WAF主要通过指纹识别来对DDOS进行防护,,通过监测应用层数据对齐进行控制或者访问控制。云WAF主要利用DNS解析对网站进行DDOS防护;软件WAF主要通过监听端口或者web容器扩展的方式进行请求的检测和阻断。硬件WAF一般部署在web服务器前端,用来检测异常数据,和流量,所以在DDOS防护方面优于软件WAF。
5、防止信息泄露,保护信息安全
6、对cookies进行保护
主要是通过加密set-cookie中的键值来保护cookie不被盗取,利用。
7、添加检测机制
WAF可以通过在数据访问时添加csrf token,防止攻击,某些waf,会配置HSTS(由互联网工程任务组发布的互联网安全策略机制),默认使用HTTPS进行通信。
8、管理HTTP头
X-XSS-Protection:可以在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。这些保护在很大程度上是不必要的,但是某些旧版浏览器不支持CSP(内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击),所以他可以为这些不支持CSP的进行保护。
X-Frame-Options:是用来给浏览器 指示允许一个页面 可否在 , , 或者 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面,从而避免 clickjacking 攻击。
三、WAF种类
1、软件型WAF
软件型WAF是以软件的形式直接安装在服务器上的,所以他可以直接检查和他共处在服务器上的文件,软件等。可检查服务器上是否有webshell文件,是否有文件、账号等被创建。
软件WAF对HTTP协议是自己进行解析的,所以可能存在与web服务器对HTTP请求的理解不一致导致被绕过。常见的软件WAF:安全狗、安全卫士等,造价相对便宜。
2、硬件型WAF
以硬件的形式部署在链路中,部署方式比较多样,串联在链路上时可以拦截恶意流量,在旁路监听模式下只记录攻击但是不进行拦截。硬件WAF是通过攻击规则库对异常流量进行识别的,所以可能存在误杀;而且它对HTTP协议是自行进行解析,所以可能存在与web服务器对HTTP请求的理解不一致导致被绕过。
硬件WAF一般情况下部署在交换机上。
3、云WAF
一般以反向代理的形式工作,通过配置NS记录或者CNAME记录,使对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说是带防护功能的CDN(内容分发网络)。
云WAF的防护规则都处于云端,由云端负责规则的更新和维护。
云WAF是通过将用户的DNS解析到云节点实现防护的,但是如果黑客有服务器的真是IP地址,就可以轻松绕过云WAF。
4、网站系统内置的WAF
网站系统内置的WAF也可以说是网站系统内置的过滤,直接镶嵌在代码中,自由度比较高。一般有以下几种情况:
①输入参数强制类型转换
②输入参数合法性检查
③关键函数执行(sql执行、页面显示、命令执行等)前,对经过代码流程的函数进行检测。
④对输入的数据进行替换过滤后再继续执行代码流程(转义/替换掉特殊字符等)。
四、WAF判断
大部分检测脚本或者工具都是根据cookie信息、返回头、返回内容来判断WAF类别的。
1、使用sqlmap进行判断
sqlmap中自带了识别waf的模块可以识别出网站的waf种类,如果安装的waf没有什么特征,识别出来的就是:Generic。
python sqlmap.py -u “http://www.xxxx.com?id=1” --identify-waf
2、使用手工进行判断
使用手工进行判断的时候,判断原则是输出的内容网站是否拦截过滤。
在URL地址后面加上测试语句即可:如:union select 1,2,3%23,把测试语句放到一个不存在的参数名中,如果触发了WAF的防护,说明网站存在WAF,反之,不存在。构造aaa=select 1,2,3%23
被拦截的表现为:页面无法访问、响应码不同、返回与正常请求网页时不同的结果等。
3、Wafw00f
工具下载地址
使用方法
4、xenoitx
工具下载地址
五、WAF的绕过
WAF常见的绕过方式大致分为四大类:
1、基于规则的绕过
<1>字符变换
大小写变换:script=>sCRipt
字符编码:
编码方式比较多样,如URL编码、十六进制编码、Unicode编码、HTML编码、Base64编码、JSfuck编码等。
等价函数:
我们在进行基于时间的SQL注入时,通常会使用不同的时间函数:如sleep();benchmark()。
等价变量:
And = && Or = || 等于 = like if(a,b,c) = case when(A) then B else C end substr(str,1,1) = substr (str) from 1 for 1 limit 1,1 = limit 1 offset 1 Union select 1,2 = union select * from ((select 1)A join (select 2)B; sleep() = benchmark() concat_ws() = group_concat() substr() = substring() @@user = user() @@datadir = datadir(
<2>字符干扰
空字符NULL (x00)空格 回车 (x0d)换行 (x0a)垂直制表 (x0b)水平制表 (x09)换页 (x0c)
<3>特殊符号
单引号;双引号;反引号
<4>利用服务本身特点
WAF针对不同的服务器,他的过滤规则会有些许差异:
windows: whoami = ((((Wh^o^am””i)))) #利用符号分割字符执行whoami
Linux:whoami = w’h’o’a’m”i” #单引号或双引号连接符,需要闭合Cat /etc/passwd = cat /?t*/??ss** #?,*通配符
<5>其他
2、基于解析的绕过
<1>字符集解析不同
<2>协议覆盖不全POST 的 JSON 传参 / form-data / multipart/form-data
<3>协议解析不正确
<4>站点和 WAF 对 https 有部分不一致
<5>WAF 解析与 Web 服务解析不一致
部分 ASP+IIS 会转换 %u0065 格式的字符
Apache 会解析畸形 Method:
.php –> /1.php.dvw.123 从后往前解析,碰到php才会解析
Iis5.0-6.0解析漏洞
xx.asp/xx.jpg ,xx.asp目录下的文件都解析成asp文件
xx.asp;.jpg 默认被解析为asp文件
Iis7.5解析漏洞(php.ini开启fix_pathinfo)
xx.jpg 我们在上传文件时,一句话木马写成xx.jpg,访问时后面加上xx.jpg/xx.php,图片文件会以php格式执行
nginx解析漏洞(php.ini开启fix_pathinfo)
xx.jpg%00.php Nginx <8.03 空字节代码执行漏洞
同一个参数多次出现, 取的位置不一样
3、基于资源的绕过
使用消耗大的载荷,耗尽WAF的计算资源,通过增加传递得参数数量,达到waf检测上限,超出的参数就可绕过waf了。比如waf检测文本内容为40字节,多出40的就不再检测,那我们可以把脚本文件写在40个字节文件之后。
再比如我们通过缓冲区溢出绕过WAF:当我们上传到服务器的数据量大于waf可以检测的数据量时,可以通过发送大量的垃圾数据将 WAF 溢出,从而绕过waf。union select= and (select 1)=(select 0xA*111111111111) unIon selectand 1=1 = and 1=1 and 111111…11111111
4、基于架构的绕过
<1>站点在WAF后面,但是站点可以直连
<2>站点在云服务器中,同网段服务器没有WAF
5、HTTP Parameter Pollution (HPP)
HTTP参数污染允许攻击者制作请求以操纵或检索隐藏信息,具体如下:
ASP.NET//IISASP/IISPHP/ApachePHP/ZeusJSP, Servlet/Apache Tomcat
6、HTTP Parameter Fragmentation (HPF)
HHTP参数分段,具体如下:在一个SQL查询中有两个或多个用户参数,例如:
Query("select * from table where a=".$_REQUEST ['a']." and b>".$_REQUEST ['b']);Query("select * from table where a=.$_REQUEST['a']." and b.$_REQUEST ['b']." limit ".$_REQUEST['c']);etc.
在验证从Web应用程序级别的用户接收到的参数值的阶段,该应用程序只能使用Web服务器的变量运行,而WAF(取决于模式)可以直接使用原始HTTP数据运行。但是,不管访问数据的方法如何,都涉及为每个单独的参数使用某些正则表达式。即:preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['a'])preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['b'])preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['c'])...preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['a'])preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['b'])preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['c'])...
因此,如果将SQL查询的逻辑划分为几个输入该SQL查询的参数,然后使用注释将这些片段连接起来,则可以绕过所描述的过滤器:
/?a = 1 + union / *&b = * / select + 1,2/?a = 1 + union / *&b = * / select + 1,pass / *&c = * / from + users
所以实际的操作语句为
select * from table where a=1 union select 1,2select * from table where a=1 union select 1,pass from users
六、WAF指纹
1、额外的 Cookie2、额外的 Header3、被拒绝请求时的返回内容4、被拒绝请求时的返回响应码5、IP
七、部分WAF指纹
1、WebKinght
如何在“事件响应处理”设置中未取消选中“直接响应”,“响应重定向”和“使用响应”状态’。WebKnight将不会丢弃请求,并将相关内容发送回客户端。
直接使用响应:如果检测到攻击,则将提供位于WebKnight目录中的文件deny.htm(在WebKnight 1.3及更高版本中为nohack.htm)
如果文件不存在,或者读取文件时发生错误,则将发送回默认文本“ WebKnight应用程序防火墙警报”。
如果使用响应重定向:IIS将以302状态(“对象已移动”)记录被阻止的请求,而直接使用“响应”时,IIS日志文件中将不会记录任何内容。
当重定向客户端并且该页面也被阻止时,将无限地重定向客户端(大多数浏览器都会给出有关“超过最大重定向次数”的错误)。具体可查看官方文档:(https://www.aqtronix.com/)
2、ModSecuroty
ModSecurity是一个开放源代码,跨平台的Web应用程序防火墙(WAF)模块。它被称为WAF的“瑞士军刀”,它使Web应用程序防御者能够了解HTTP(S)流量,并提供电源规则语言和API来实施高级保护。ModSecurity只能嵌入在Apache 2.x中,但是当将其部署为反向代理时,它可以用于保护任何Web服务器。一个恶意的请求Mod_Security会在响应头返回“406 Not acceptable”的信息。
HTTP/1.0 406 Not Acceptable Cache-Control: No-Cache Pragma: No-Cache Connection: Keep-Alive Content-Length: 0
具体可查看官方文档:(https://www.modsecurity.org)
3、360防火墙
响应头包含X-Powered-By-360WZB异常请求时返回493状态码页面源码可以找到对 wzws-waf-cgi 引用
4、云锁
响应头包含yunsuo_session字段阻止响应页面
5、云盾
响应头包含yundun关键字页面源代码有errors.aliyun.com引用
6、安全狗
响应头包含 waf 2.0
Safedog 等字样
HTTP/1.1 200 OK Content-Length: 689 Content-Type: text/html Last-Modified: Thu, 27 Dec 2018 08:03:11 GMT Accept-Ranges: bytes ETag: "5e49439cba9dd41:0" Server: Microsoft-IIS/7.5 X-Powered-By: WAF/2.0 Date: Sun, 13 Dec 2020 20:33:49 GMT
7、腾讯云
阻止响应页面包含waf.tencent-cloud.com 引用阻止响应代码 405 method not allow
8、安全宝
恶意请求时返回405恶意代码
响应头包含X-Powered-by-Anquanbao
HTTP/1.1 406 Not Acceptable Connection: close Content-Length: 584 Content-Type: text/html Date: Tue, 15 Dec 2020 03:18:45 GMT Server: ASERVER/1.8.0-3 X-Powered-By-Anquanbao: MISS from pon-bj-xy-ib5
9、百度云加速
响应头包含 Yunjiasu-ngnix
HTTP/1.1 403 Forbidden Connection: close Content-Length: 16 Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Cf-Ray: 601f31327b2d4887-TNA Cf-Request-Id: 07075d138f00004887d517b000000001 Content-Type: text/plain; charset=UTF-8 Date: Tue, 15 Dec 2020 09:38:31 GMT Expires: Thu, 01 Jan 1970 00:00:01 GMT Server: yunjiasu-nginx Set-Cookie: __cfduid=d24058fa10fcb3f938923e75816b1e31b1608025111; expires=Thu, 14-Jan-21 09:38:31 GMT; path=/; domain=.119.188.9.54; HttpOnly; SameSite=Lax X-Frame-Options: SAMEORIGIN
10、创宇盾
恶意请求时 页面url 365cyd.com 365cyd.net
11、Profense
def isprofense(self): """ Checks for server headers containing "profense" """ return self.matchheader(('server','profense'))
作者:七天啊 原文:https://blog.csdn.net/sycamorelg/article/details/111055352
历史文章推荐:
XSS 实战思路总结
内网信息收集总结
xss攻击、绕过最全总结
一些webshell免杀的技巧
命令执行写webshell总结
SQL手工注入总结 必须收藏
后台getshell常用技巧总结
web渗透之发现内网有大鱼
蚁剑特征性信息修改简单过WAF
内网渗透之域渗透命令执行总结
[WEB安全]Weblogic漏洞总结
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,麻烦各位师傅文章底部给点个“再看”,感激不尽
