过waf简单总结

  • A+
所属分类:颓废's Blog

第一类waf,像安全狗,云锁此类,直接安装在目标服务器上。首先,需要注意的是,这类东西一旦触发警报,就会立刻短信通知站长,所以盲测动静是很大的。从防护方式上来说,以安全狗为例,就是简单粗暴的去匹配HTTP报文里的危险字符串,所以我们以只需要简单粗暴的绕过他的正则就行了。这就需要结合具体的语言特性和各种tricks了。

另一种绕过思路,就是构造畸形的HTTP报文,由于waf和中间件对HTTP报文的认知不统一,造成绕过。往往waf对HTTP报文的格式要求比较严格,而中间件对报文格式要求比较松散。

最后就是攻击waf本身,例如请求一些畸形数据或者发送大量垃圾数据来使waf挂掉或者失效。

云waf,这类waf的原理是先把流量引入waf服务器,经过过滤再发往目标服务器。当然上面的绕过思路可以借用到这里。另外,最简单的办法就是让流量不经过waf服务器。找真实IP是比较简单的办法。

云锁,安全狗此类都采用了cs架构,所以,上述两类waf其实还有个共同点,就是他们都能在远端进行管理,如果能社到客户端的登陆账号......

作者 sn00py

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: