WAF的那点事

文章源自【字节脉搏社区】-字节脉搏实验室

作者-kong

0x00介绍WAF

WAF基本上可以分为一下几类。

1. 软件型WAF

以软件形式装在所保护的服务器上的WAF,由于安装在服务器上,所以可以接触到服务器上的文件,直接检测服务器上是否存在WebShell、是否有文件被创建等。

2. 硬件型WAF

以硬件形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截。

3.云WAF

一般以反向代理的形式工作,通过配置NS记录或CNAME记录,使对网址的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说使带防护的CDN。

4.网站系统内置的WAF

网站系统内置的WAF也可以说是网站系统中内置的过滤,直接镶嵌在代码中,相对来说自由度高,一般有以下几种情况。 ①输入参数强制类型转换。 ②输入参数合法性检测。 ③关键函数执行(sql执行、页面显示、命令执行等)前,对经过代码流程的输入进行检测。 ④对输入的数据进行替换过滤后再继续执行代码流程。

0x01网站是否存在WAF判断

1.使用SQLMap

使用SQLMap中自带的WAF识别模块可以识别出WAF的种类,但是如果所安装的WAF并没有什么特征,SQLMap就只能识别出类型是Generic。 命令:sqlmap.py -u “url” –identify-waf –batch

2.手工判断

一般直接在相应的网站url后面直接加上基础的sql测试语句,如union,and 1=1 等

0x02一些简单的绕过WAF方法

例如SQL注入漏洞绕过

1.大小写混合

在规则匹配时只针对特定大写或小写的情况,遇到时可以使用大小写混合绕过。 如:uNion sEleCt 1,2

2.url编码

有些waf不会对普通字符进行url解码检测,可以进行url编码。或者只解码一次的情况下我们可以进行url二次编码。

3.替换关键字

WAF采用替换或者删除select等敏感关键字的时候,如果只匹配一次则很容易进行绕过。如下命令 ununionion selselectect 1,2,3

4.使用注释

注释在截断SQL语句中用的比较多,在绕过WAF时主要使用其替代空格(/* 内容*/),适用于检测过程中没有识别注释或替换掉了注释的waf。 如命令:union/*258*/select/*asd*/1,2,3,4 或者 ?id=1 /*!and*/ 1=2 后面语句与union注入的一致

5.多参数请求拆分

对于多个参数拼接到同一条sql语句中的情况,可以将注入语句分割插入。 例如请求url时,get参数格式 a=123&b=456,可以将get的参数a和b拼接到sql语句中,如下所示 and a=123 & b=456 可以这样拼接 and a=union/*&b=*/select 1,2,3

6.生僻函数

使用生僻函数替换成见的函数。例如在报错注入中使用polygon()函数替换常用的updatexml()函数,如下所示。 select polygon((select*from(select*from()a)b));

7.寻找网站源站IP

对于有些waf防护的网站而言,可以找到真实ip地址,然后通过ip访问就可以进行绕过。

一般寻找网站ip的方法:

①寻找网站的历史解析记录。 ②多地区ping网站,查看ip解析结果。 ③找网站的二级域名、NS、MX记录等对应的IP。 ④使网站发送邮件给你,查看发送方的IP。

本文分享自微信公众号 - 字节脉搏实验室(zijiemaiboshiyanshi),作者:kong

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 逻辑漏洞-验证码碰撞

    在一次和朋友聊天的过程中,得知他们正在使用一款APP进行网上授课,所以就萌发了测试的想法。

    字节脉搏实验室
  • Nc内网端口转发

    Netcat工具可在github下载,瑞士军刀,没啥好说的老牌工具了(杀软杀的厉害)

    字节脉搏实验室
  • YxtCMF后台的注入和getshell分析

    说明: 这摊源码是基于thinkphp3.2.3开发的,然后有几个重要的目录记录一下:

    字节脉搏实验室
  • 网站安全公司waf防火墙的作用分析

    这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而设计的,我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测...

    网站安全专家
  • 干货 | 常见WAF拦截页面总结

    去年年底看到@madcoding老哥博客的“Waf的识别与绕过”一文中搜集了不少WAF拦截页面,正好我平时也有搜集WAF拦截页面的习惯,所以结合他的一起整理成了...

    HACK学习
  • CC防御过程中,WAF的主要特点有哪些?

    一部分网站和游戏,以及金融的企业网站负责人员对于流量攻击应该属于耳熟能详。对此问题一直也是他们最头疼的。因此在解决DDoS攻击和CC攻击防御的过程中,运用了WA...

    墨者安全科技
  • WAF产品经理眼中比较理想的WAF

    WAF简介 WAF(Web Application Firewall,简称:WAF),百度百科上的定义,Web应用防火墙是通过执行一系列针对HTTP/HTTPS...

    FB客服
  • 企业怎么选择国产Web应用防火墙?

    2005年前后,Web应用防火墙(WAF)进入了IT安全领域,最早提供这类产品的供应商是几家新兴公司,如Perfecto、KaVaDo和NetContinuum...

    用户7261497
  • 网站安全公司waf防火墙基本介绍

    这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而设计的,我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测...

    技术分享达人
  • WAF(web应用防火墙)使用疑问点小汇总

    腾讯云提供两种类型的云上 WAF,SaaS 型 WAF 和负载均衡型 WAF。两种 WAF 的安全防护能力基本相同,但接入方式不同,适用场景不同,您可以根据实际...

    拾荒者peanutchen

扫码关注云+社区

领取腾讯云代金券