绕过Web防火墙,WAF简介,WAF对于一些常规漏洞(如sql注入漏洞、XSS漏洞、命令执行漏
洞、文件包含漏洞等)的检测大多是基于正则表达式和AI+规则的方法,因此会有一定的概率
绕过其防御。在绕过WAF的测试中,有很多的方法可以使用,以下为例举的12项常用方法:
(1)大小写绕过。(2)注释符绕过。(3)编码绕过。(4)分块传输绕过。(5)使用空字节绕过。(6)关键
字替换绕过。(7)HTTP协议覆盖绕过。(8)白名单IP绕过。(9)真实IP绕过。(10)Pipline绕过。(11
)参数污染绕过。(12)溢出WAF绕过。当然除了例举的这12种方法外还有很多的思路,但是对于
绕过目前市面大部分WAF已经够用了。虽然WAF在不断地更新换代,但绕过思路也随之变得更
加多样化。
字替换绕过。(7)HTTP协议覆盖绕过。(8)白名单IP绕过。(9)真实IP绕过。(10)Pipline绕过。(11
)参数污染绕过。(12)溢出WAF绕过。当然除了例举的这12种方法外还有很多的思路,但是对于
绕过目前市面大部分WAF已经够用了。虽然WAF在不断地更新换代,但绕过思路也随之变得更
加多样化。
目前,可以把WAF分为四类:(1)云WAF类。(2)硬件WAF类。(3)软件WAF类。(4)网站内置WA
F类。云WAF基于云端的检测,安装简单,修改DNS解析或在服务器安装云WAF的模块即可。
硬件WAF串联在内网的交换机上,防护范围大。软件WAF安装在服务器上,根据网站流量决
定占用的内存量。网站内置WAF在系统后台内置一项安全功能以便管理者使用。在这些类别内
,硬件WAF防护能力较强,当然这只是按照类别对比。
F类。云WAF基于云端的检测,安装简单,修改DNS解析或在服务器安装云WAF的模块即可。
硬件WAF串联在内网的交换机上,防护范围大。软件WAF安装在服务器上,根据网站流量决
定占用的内存量。网站内置WAF在系统后台内置一项安全功能以便管理者使用。在这些类别内
,硬件WAF防护能力较强,当然这只是按照类别对比。
WAF比较常见的检测机制特点有以下几种。(1)异常检测协议:拒绝不符合HTTP标准的请求,
也可以只允许符合HTTP协议的部分选项通过,还有一些网络应用防火墙,可以对HTTP协议中
那些过于松散或未完全规定的选项进行严格限制。(2)增强输入验证:增强输入验证,对恶意字
符进行拦截。(3)及时补丁:及时屏蔽掉新型漏洞,避免攻击者进行攻击,主要依靠WAF厂商
对新型漏洞的及时响应速度。(4)基于规则和基于例外的保护:基于规则的保护可为各种Web
应用程序提供安全规则,WAF生产商将维护此规则库并对其进行实时更新。用户可以按照这
些规则对应用进行全方面检测。也有产品可以根据合法应用数据建立模型,并据此判断应用
数据是否异常。但是这需要对用户企业的应用有一个非常透彻的了解才能做到,而实际上,
这是非常困难的一件事。(5)状态管理:能够判断用户是否是第一次访问,将请求重定向到默
认登录页面并且记录事件,或对暴力破解行为进行拦截。(6)其他防护技术:如隐藏表单域保
护、抗入侵规避技术、响应监视和信息泄露保护。(7)配置规则:可以自定义防护的规则,如
是否允许“境外IP”的访问等。
也可以只允许符合HTTP协议的部分选项通过,还有一些网络应用防火墙,可以对HTTP协议中
那些过于松散或未完全规定的选项进行严格限制。(2)增强输入验证:增强输入验证,对恶意字
符进行拦截。(3)及时补丁:及时屏蔽掉新型漏洞,避免攻击者进行攻击,主要依靠WAF厂商
对新型漏洞的及时响应速度。(4)基于规则和基于例外的保护:基于规则的保护可为各种Web
应用程序提供安全规则,WAF生产商将维护此规则库并对其进行实时更新。用户可以按照这
些规则对应用进行全方面检测。也有产品可以根据合法应用数据建立模型,并据此判断应用
数据是否异常。但是这需要对用户企业的应用有一个非常透彻的了解才能做到,而实际上,
这是非常困难的一件事。(5)状态管理:能够判断用户是否是第一次访问,将请求重定向到默
认登录页面并且记录事件,或对暴力破解行为进行拦截。(6)其他防护技术:如隐藏表单域保
护、抗入侵规避技术、响应监视和信息泄露保护。(7)配置规则:可以自定义防护的规则,如
是否允许“境外IP”的访问等。
