细说——WAF

  • Post author:
  • Post category:其他


知识铺垫



WAF是什么

WAF,全称为:Web Application Firewall,即 Web 应用防火墙。对此,维基百科是这么解释的:Web应用程序防火墙过滤,监视和阻止与Web应用程序之间的HTTP流量。WAF与常规防火墙的区别在于,WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用程序安全漏洞的攻击,例如SQL注入、跨站点脚本,文件包含和安全性错误配置。WAF具备以下特点:

  • 全面检测WEB代码
  • 深入检测HTTP/HTTPS
  • 强大的特征库
  • 网络层的防篡改机制

更多细节参见

Web 防火墙(WAF)是什么?和传统防火墙区别是什么?

一言蔽之,WAF就是部署在网站上的一个东东,之所以说它“东东”,是因为这玩意分好几种类型。



主流WAF有哪些?

在这里插入图片描述



WAF的分类

WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面,而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、扫操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。



软件型WAF

以软件的形式安装在服务器上,可以直接检测服务器是否存在webshell,是否有文件被创建等


D盾



云锁



网防G01



安全狗



护卫神



智创



悬镜



UPUPW



安骑士



硬件型WAF

以硬件的形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听时只记录攻击,不拦截


绿盟



安恒



铱迅



天融信



深信服



启明星辰



知道创宇



F5 BIG-IP



基于云WAF

一般以反向代理的形式工作,通过配置NS或CNAME记录,使得对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将被认为无害的请求报文再发送给实际网站服务器进行请求,可以认为是自带防护功能的CDN


安全宝



创宇盾



玄武盾



腾讯云(T-Sec Web 应用防火墙)



百度云(应用防火墙 WAF)



西部数码



阿里云盾



奇安信网站卫士



开源型WAF


Naxsi



OpenRASP



ModSecurity



网站内置的WAF

网站系统内置的WAF直接镶嵌在代码中,相对来说自由度高,网站内置的WAF与业务更加契合



IPS与IDS,防火墙与WAF之间的比较和差异

如果你在学习WAF的时候,常常对WAF、防火墙、IPS等概念感到费解,你可以直接查看我参考的

原文

(我这里重新排版了)

首先明确一下缩写词汇:

IPS(Intrusion Prevention System) =入侵防御系统
IDS(Intrusion Detection System)  =入侵检测系统
WAF(Web Application Firewall)    = Web应用程序防火墙

这些设备的拓扑如下

在这里插入图片描述



防火墙功能

防火墙有几种类型,但最常见的是硬件网络防火墙。从拓扑图中可以看到,由于网络防火墙是网络安全的基石,因此在所有网络设计中都可以找到网络防火墙。

防火墙的核心功能是允许或阻止源主机/网络与目标主机/网络之间的通信。

基本防火墙在OSI模型的第3层和第4层工作,即它们可以基于源/目标IP地址和源/目标TCP / UDP端口允许或阻止IP数据包。此外,网络防火墙是有状态的。这意味着防火墙会跟踪通过它的连接状态。

例如,如果内部主机通过防火墙成功访问了Internet网站,则后者会将连接保留在其连接表内,从而允许来自外部Web服务器的答复数据包传递到内部主机,因为它们已经属于已建立的防火墙。连接。

如今,下一代防火墙一直运行到OSI模型的第7层,这意味着它们能够在应用程序级别检查和控制流量。



IPS入侵防御系统

在这里插入图片描述

顾名思义,入侵防御系统(IPS)是一种安全设备,其主要任务是防止网络入侵。

这就是为什么IPS与数据包流串联连接的原因。从上面的网络拓扑(带IPS的防火墙)可以看出,IPS设备通常连接在防火墙后面,但是位于通信路径的串联位置,该通信路径向内部网络/从内部网络传输数据包。

为了使IPS设备在到达内部服务器之前立即阻止恶意流量,需要上述放置。

通常,IPS是基于签名的,这意味着它具有已知恶意流量,攻击和利用的数据库,如果它看到匹配签名的数据包,则它将阻止流量。

此外,IPS可以处理统计异常检测,管理员设置的规则等。



IDS入侵检测系统

在这里插入图片描述

IDS(入侵检测系统)是IPS的前身,本质上是被动的。如上图所示(带IDS的防火墙),该设备未与流量串联插入,而是并行(带外放置)。

通过交换机的流量也同时发送到IDS进行检查。如果在网络流量中检测到安全异常,则IDS只会向管理员发出警报,但无法阻止流量。

与IPS相似,IDS设备还主要使用已知安全攻击和漏洞利用的特征来检测入侵企图。

为了将流量发送到IDS,交换设备必须配置一个SPAN端口,以便复制流量并将其发送到IDS节点。

尽管IDS在网络中是被动的(即它不能主动阻止流量),但是有些模型可以与防火墙配合使用以阻止安全攻击。

例如,如果IDS检测到攻击,则IDS可以向防火墙发送命令以阻止特定的数据包。



WAF

在这里插入图片描述

WAF(Web应用程序防火墙)专注于保护网站(或通常的Web应用程序)。

它在应用程序层工作以检查HTTP Web流量,以检测针对网站的恶意攻击。

例如,WAF将检测SQL注入攻击,跨站点脚本,Javascript攻击,RFI / LFI攻击等。

由于当今大多数网站都使用SSL(HTTP),因此WAF还可以通过终止SSL会话并在WAF本身上检查连接内部的流量来提供SSL加速和SSL检查。

如上图所示(带有WAF的防火墙),它被放置在网站的前面(通常)在防火墙的DMZ区域中。

有了WAF,管理员可以灵活地限制对网站特定部分的Web访问,提供强身份验证,检查或限制文件上传到网站等。



对比



IPS与IDS


入侵防御系统

入侵检测系统
网络布局 串联(串联)与网络流量 与流量并行(带外)
操作模式 活动设备。可以主动阻止攻击流量。 被动装置。无法阻止攻击流量,只能检测。
检测机制 基于签名,基于规则,统计异常检测等 基于签名,基于规则,统计异常检测等
封锁选项 在网络级别阻止数据包,重置连接,提醒管理员等 提醒管理员,发送重置连接请求。
硬件功能 必须具有高性能才能执行深度数据包检查,并且不能减慢流量。 不需要非常高性能,因为它不会干预流量。但是,为了实时掌握流量,它必须能够处理线路带宽。



防火墙与IPS / IDS


防火墙功能

入侵防御/入侵防御
网络布局 通常放置在网络的前端以控制流量。 防火墙后的线内或带外。
主要用例 允许或阻止不同网络区域之间的流量。 专门检查网络数据包以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。
检测机制 通常适用于第4层,以允许或阻止IP地址和端口。 基于签名,基于规则,统计异常检测等
封锁选项 在网络级别阻止或允许数据包。 检测攻击并直接阻止流量或发送警报。
硬件功能 通常具有许多物理网络接口,以便将网络划分为不同的安全区域。 必须具有高性能才能执行深度数据包检查,并且不能减慢流量。



WAF与IPS / IDS


WAF

入侵防御/入侵防御
网络布局 放置在网站/ Web应用程序的前面 防火墙后的线内或带外。
主要用例 专用于仅检查HTTP Web流量并防止Web特定攻击。 专门检查所有网络数据包,以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。
防范这些安全攻击(示例) SQL注入,跨站点脚本,GET / POST攻击,会话操纵攻击,javascript,LFI / RFI等 针对Web服务器,SMTP,RDP,DNS,Windows OS,Linux OS等服务的利用。



WAF检测

检测WAF的方法较多,可以通过NMAP、wafw00f、检查响应标头,检查响应正文等方式



手工检测

譬如,我这里直接来个XSS

在这里插入图片描述

在这里插入图片描述

这个时候你可以直接看到被WAF拦截了,WAF是华为云。你也可以通过响应头看到WAF

在这里插入图片描述

在这里插入图片描述



工具检测WAF



wafw00f

检测WAF的方法

wafw00f是一个Web应用防火墙(WAF)指纹识别的工具。

下载地址:

https://github.com/EnableSecurity/wafw00f


wafw00f的工作原理:

  1. 发送正常的HTTP请求,然后分析响应,这可以识别出很多WAF。
  2. 如果不成功,它会发送一些(可能是恶意的)HTTP请求,使用简单的逻辑推断是哪一个WAF。
  3. 如果这也不成功,它会分析之前返回的响应,使用其它简单的算法猜测是否有某个WAF或者安全解决方案响应了我们的攻击。

kali上内置了该工具:

在这里插入图片描述

wafw00f支持非常多的WAF识别。要查看它能够检测到哪些WAF,请使用-l 选项。

简单使用如下:wafw00f

https://www.xxx.com/


在这里插入图片描述



sqlmap

如果网站存在WAF,sqlmap会有提示。

sqlmap --batch --identify-waf --random-agent -u "http://www.test.com"

在这里插入图片描述



nmap

nmap检测waf

nmap -p 80 443 --script http-waf-detect <目标>

在这里插入图片描述

nmap识别waf指纹

nmap -p 80 443 --script http-waf-fingerprint <目标>

在这里插入图片描述



WAF进程与拦截页面

此处大量引用了网络上的图片



D盾

服务名:d_safe
进程名:D_Safe_Manage.exe、d_manage.exe



云锁

服务端监听端口:5555
服务名:YunSuoAgent/JtAgent(云锁Windows平台代理服务)、YunSuoDaemon/JtDaemon(云锁Windows平台守护服务)
进程名:yunsuo_agent_service.exe、yunsuo_agent_daemon.exe、PC.exe



阿里云盾

服务名:Alibaba Security Aegis Detect Service、Alibaba Security Aegis Update Service、AliyunService
进程名:AliYunDun.exe、AliYunDunUpdate.exe、aliyun_assist_service.exe



腾讯云安全

进程名:BaradAgent.exe、sgagent.exe、YDService.exe、YDLive.exe、YDEdr.exe



腾讯宙斯盾



360主机卫士

服务名:QHWafUpdata
进程名:360WebSafe.exe、QHSrv.exe、QHWebshellGuard.exe



奇安信网站卫士



网站/服务器安全狗

服务名:SafeDogCloudHelper、Safedog Update Center、SafeDogGuardCenter(服务器安全狗守护中心)
进程名:SafeDogSiteApache.exe、SafeDogSiteIIS.exe、SafeDogTray.exe、SafeDogServerUI.exe、SafeDogGuardCenter.exe、CloudHelper.exe、SafeDogUpdateCenter.exe



护卫神·入侵防护系统

服务名:hws、hwsd、HwsHostEx/HwsHostWebEx(护卫神主机大师服务)
进程名:hws.exe、hwsd.exe、hws_ui.exe、HwsPanel.exe、HwsHostPanel.exe/HwsHostMaster.exe(护卫神主机大师)



网防G01政府网站综合防护系统(“云锁”升级版)

服务端监听端口:5555
服务名:YunSuoAgent、YunSuoDaemon(不知是否忘了替换了!)
进程名:gov_defence_service.exe、gov_defence_daemon.exe



UPUPW安全



宝塔



智创防火墙



创宇盾



玄武盾



西数WTS-WAF



Naxsi WAF



百度云




华为云

**



网宿云



铱讯WAF



安域云WAF



长亭SafeLine



安恒明御WAF



WAF绕过

网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过。

WAF的工作原理放到这里说一下,WAF的主要难点是对入侵的检测能力,尤其是对Web服务入侵的检测,WAF最大的挑战是识别率。对于已知的攻击方式,可以谈识别率,但是对于未知的攻击手段,WAF是检测不到的。目前市面上大多数的WAF都是基于规则的WAF。即WAF对接数据收到的包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个恶意代码,从而对于进行阻断。所以,对于基于规则匹配的WAF,需要每天都及时更新最新的漏洞库。对于这种WAF,它的工作过程是这样的:**解析HTTP请求——>匹配规则——>防御动作——>记录日志 **

具体实现如下:

  1. 解析http请求:协议解析模块
  2. 匹配规则:规则检测模块,匹配规则库
  3. 防御动作:return 403 或者跳转到自定义界面,或者不返回任何数据,或者拉黑IP
  4. 日志记录:记录到elk中

从WAF工作的过程我们可以看到,要想绕过WAF,我们只有在 WAF解析HTTP请求 或 WAF匹配规则 两个地方进行绕过。因为第三、四步是WAF匹配到攻击之后的操作,这时候WAF已经检测到攻击了。

【绕WAF这个事,可以说,方式的很灵活的,写起来很杂,以后再积累更新】



域名转换为ip

有些WAF设置的是针对域名的防护,在有些时候,我们可以尝试将域名改成ip地址有可以绕过WAF的防护。

(小声bb,其实这很鸡肋,一般来说,规则是不会匹配host是域名还是ip,除非是为了避免误报才可能匹配host)



分块编码(Transfer-Encoding)绕过WAF

这种绕过方法利用的是WAF在解析HTTP协议的过程,既然WAF连我们的攻击代码都没有解析完全,那么第二步的正则匹配也就匹配不到我们的攻击代码了,自然就可以绕过了。

相关文章:


在HTTP协议层面绕过WAF



利用分块传输吊打所有WAF



[技术]编写Burp分块传输插件绕WAF



HTTP 协议中的 Transfer-Encoding



对抗规则绕过



对关键字进行不同编码

select * from zzz = select * from  %257a%257a%257a  //url编码
单引号 = %u0027、%u02b9、%u02bc   // Unicode编码
adminuser = 0x61646D696E75736572 // 部分十六进制编码
空格 = %20 %09 %0a %0b %0c %0d %a0  //各类编码

这种方式实用价值一般,譬如检测xss的时候,我会加一条逻辑与来匹配编码

pcre:"/(txtName|mtxMessage)[\s=]+?.+?(%3C|\x3c|<).+?(%3E|\x3E|>)/iP"



对关键字进行大小写变换

Union select = uNIoN sELecT

这种方式实用价值很低,我们写正则的时候,一般都会设置正则的标志位为

i

,即,不区分大小写



通过其他语义相同的关键字替换

除了通过编码等价替换等方式绕过检测,我们还能配合目标特性实现绕过检测

And = &&
Or = ||
等于 = like 或综合<与>判断
if(a,b,c) = case when(A) then B else C end
substr(str,1,1) = substr (str) from 1 for 1
limit 1,1 = limit 1 offset 1
Union select 1,2 = union select * from ((select 1)A join (select 2)B;
hex()、bin() = ascii()
sleep() = benchmark()
concat_ws() = group_concat()
mid()、substr() = substring()
@@user = user()
@@datadir = datadir()



配合Windows特性

注意,是在cmd下执行,在powershell中是不行的

ipconfig <=> ((((ipc^o^nf""ig))))      //利用符号分割字符执行ipconfig

在这里插入图片描述

ipconfig <=> set a=123ipconfig456&& %a:~3,8%	利用变量分割关键字执行ipconfig

在这里插入图片描述

解释:

set a=123ipconfig456 //设置了一个变量a

echo %a:~3,8% //取出变量a的第3位开始共计8个字符(加了个echo是为了看看取的内容)

%a:~3,8% //执行取出的值

把上面内容合体就是set a=123ipconfig456&& %a:~3,8%

在这里插入图片描述



配合linux特性

whoami <=> w'h'o'a'm"i"  //单引号或双引号连接符,需要闭合

在这里插入图片描述

Cat /etc/passwd <=> cat /?t*/??ss**  //?,*通配符 
whoami <=> /b[12312i]n/w[23sh]oa[2msh]i //[] 通配符,匹配【】中的字符

上面的这个说白了就是利用了linux能够识别正则。

在这里插入图片描述

Whoami <=> a=who&&b=ami&&$a$b     //当然linux下也可以变量拼接

在这里插入图片描述

cat /../../etc/passwd =cd ..&&cd ..&&cd etc&&cat passwd  //目录穿越

在这里插入图片描述



http协议绕过


Content-Type绕过


有的waf 识别到Content-Type类型为multipart/form-data后,会将它认为是文件上传请求,从而不检测其他种类攻击只检测文件上传,导致被绕过。

application/x-www-form-urlencoded è multipart/form-data


HTTP请求方式绕过


waf在对危险字符进行检测的时候,分别为post请求和get请求设定了不同的匹配规则,请求被拦截,变换请求方式有几率能绕过检测

Ps:云锁/安全狗安装后默认状态对post请求检测力度较小,可通过变换请求方式绕过


参数污染绕过


由于http协议允许同名参数的存在,同时waf的处理机制对同名参数的处理方式不同,造成“参数污染”。不同的服务器搭配会对传递的参数解析出不同的值。配合waf与中间件对参数解析位置不同,可能绕过waf。

提交的参数为:?id=1&id=2&id=exp
asp.net+iis:id=1,2,exp
asp+iis:id=1,2,exp
php+apache:id=exp


解析特性绕过


原理:利用waf与后端服务器的解析不一致。

Iis5.0-6.0解析漏洞

.asp --> /xx.asp/xx.jpg  //.asp,.asa目录下的文件都解析成asp文件
.asp --> xx.asp;.jpg     //服务器默认不解析;号后面的内容

Iis7.5解析漏洞(php.ini开启fix_pathinfo)

.php --> /xx.jpg         //上传.jpg一句话,访问时后面加上/xx.php

apache解析漏洞

.php --> /test.php.php123     //从右往左,能别的后缀开始解析

nginx解析漏洞(php.ini开启fix_pathinfo)

.php --> xxx.jpg%00.php      //Nginx <8.03 空字节代码执行漏洞


解析兼容性绕过


在http协议中,标准的文件名的形式为filename=”1.php”,但是web容器会在解析协议时做一些兼容,文件上传时,有的waf只按照标准协议去解析,解析不到文件名,从而被绕过。


keep-alive(Pipeline)绕过


原理:http请求头部中有Connection这个字段,建立的tcp连接会根据此字段的值来判断是否断开,我们可以手动将此值置为keep-alive,然后在http请求报文中构造多个请求,将恶意代码隐藏在第n个请求中,从而绕过。



更多

先知白帽大会有一期的内容是关于WAF,内容生动有趣,可以看


没有绝对的waf防御.pdf



参考


Web渗透测试:信息收集篇



Web 防火墙(WAF)是什么?和传统防火墙区别是什么?



IPS与IDS,防火墙与WAF之间的比较和差异



WAF、流控设备、堡垒机



看图识WAF-搜集常见WAF拦截页面



常见WAF拦截页面



常见WAF进程/服务与WAF识别总结



实战技巧 | WAF绕过入狱指南



WAF的工作原理和绕过浅析



绕过网站WAF(图片绕过)



waf绕过拍了拍你



版权声明:本文为weixin_44288604原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。