1、WAF简介
大小写绕过注释符绕过编码绕过分块传输绕过使用空字节绕过关键字替换绕过http协议覆盖绕过白名单ip绕过真实ip绕过Pipline绕过参数污染溢出waf绕过
可以把WAF分为四类:
云WAF类硬件WAF类软件WAF类网站内置WAF类
云waf基于云端的检测,安装简单,修改DNS解析或在服务器安装云WAF的模块即可。硬件WAF串联在内网的交换机上,防护范围大。软件WAF安装在服务器上根据网站流量决定占用的内存量。网站内置WAF在系统后台内置一项安全功能以便管理者使用。在这些类别内,硬件WAF防护能力较强。
软件型WAF
D盾:http://www.d99net.net/云锁:https://yunsuo.qianxin.com/网防:http://www.weishi110.cn/static/index.html安全狗:https://www.safedog.cn/护卫神:https://www.hws.com/智创:https://www.zcnt.com/悬镜:https://www.xmirror.cn/UPUPW:https://www.upupw.net/WTS-WAF:https://www.west.cn/安骑士:https://help.aliyun.com/product/28449.htmldotDefender:http://www.applicure.com/Products/
硬件型WAF
绿盟:https://www.nsfocus.com.cn/安恒:https://www.dbappsecurity.com.cn/铱(yi)迅:https://www.yxlink.com/天融信深信服启明星辰知道创宇F5 BIG-IP:https://www.f5.com/
基于云WAF
安全宝创宇盾:https://defense.yunaq.com/cyd/玄武盾腾讯云百度云西部数码阿里云盾奇安信网站卫士
开源型WAF
Naxsi:https://github.com/nbs-system/naxsiOpenRASP:https://github.com/baidu/openraspModSecurity:https://github.com/SpiderLabs/ModSecurityhttps://github.com/SpiderLabs/owasp-modsecurity-crs
WAF比较常见的监测机制特点有以下几种。(1)异常检测协议:拒绝不符合HTTP标准的请求,也可以只允许符合HTTP协议的部分选项通过,也有一些web应用防火墙还可以限定http协议中那些过于松散或未被完全制定的选项。(2)增强输入验证:增强输入验证,对恶意字符进行拦截。(3)及时补丁:及时屏蔽掉新型漏洞,避免攻击者进行攻击,主要依靠WAF厂商对新型漏洞的及时响应速度(4)基于规则的保护和基于异常的保护:基于规则的保护可以提供各种web应用的安全规则,waf生产商会维护这个规则库,并及时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到(5)状态管理;能够判断用户是否是第一次访问,将请求重定向到默认登录页面并且记录事件,或对暴力破解行为进行拦截。(6)其他防护技术:如隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。(7)配置规则:可以自定义防护的规则,如是否允许“境外ip”的访问
2、常见WAF进程和服务
(1) D盾
服务名:d_safe进程名:D_Safe_Manage.exe、d_manage.exe
(2) 云锁
服务端监听端口:5555服务名:YunSuoAgent/JtAgent(云锁Windows平台代理服务)、YunSuoDaemon/JtDaemon(云锁Windows平台守护服务)进程名:yunsuo_agent_service.exe、yunsuo_agent_daemon.exe、PC.exe
(3) 阿里云盾
服务名:Alibaba Security Aegis Detect Service、Alibaba Security Aegis Update Service、AliyunService进程名:AliYunDun.exe、AliYunDunUpdate.exe、aliyun_assist_service.exe
(4) 腾讯云安全
进程名:BaradAgent.exe、sgagent.exe、YDService.exe、YDLive.exe、YDEdr.exe(5) 360主机卫士
服务名:QHWafUpdata进程名:360WebSafe.exe、QHSrv.exe、QHWebshellGuard.exe
(6) 网站/服务器安全狗
服务名:SafeDogCloudHelper、SafedogUpdateCenter、SafeDogGuardCenter(服务器安全狗守护中心)进程名:SafeDogSiteApache.exe、SafeDogSiteIIS.exe、SafeDogTray.exe、SafeDogServerUI.exe、SafeDogGuardCenter.exe、CloudHelper.exe、SafeDogUpdateCenter.exe
(7) 护卫神·入侵防护系统
服务名:hws、hwsd、HwsHostEx/HwsHostWebEx(护卫神主机大师服务)进程名:hws.exe、hwsd.exe、hws_ui.exe、HwsPanel.exe、HwsHostPanel.exe/HwsHostMaster.exe(护卫神主机大师)
(8) 网防G01政府网站综合防护系统(“云锁”升级版)
服务端监听端口:5555服务名:YunSuoAgent、YunSuoDaemon(不知是否忘了替换了!)进程名:gov_defence_service.exe、gov_defence_daemon.exe
3、WAF识别
(1) wafw00f/WhatWaf
/usr/lib/python3/dist-packages/wafw00f/plugins#!/usr/bin/env pythonNAME = "Yunsuo"def is_waf(self):if self.matchcookie("^security_session_verify"):return Truereturn False
(2) sqlmap -identify-waf
更新前:/usr/share/sqlmap/waf
更新后:/usr/share/golismero/tools/sqlmap/waf
#!/usr/bin/env python"""Copyright (c) 2006-2013 sqlmap developers (http://sqlmap.org/)See the file "doc/COPYING" for copying permission"""import refrom lib.core.enumsimport HTTP_HEADERfrom lib.core.settingsimport WAF_ATTACK_VECTORS__product__ ="ModSecurity: Open Source Web Application Firewall (Trustwave)"defdetect(get_page):retval =Falsefor vectorin WAF_ATTACK_VECTORS:page, headers, code = get_page(get=vector)retval = code ==501and re.search(r"Reference #[0-9A-Fa-f.]+", page, re.I)isNoneretval |= re.search(r"Mod_Security|NOYB", headers.get(HTTP_HEADER.SERVER,""), re.I)isnotNoneif retval:breakreturn retval
(3) 项目地址
https://github.com/sqlmapproject/sqlmaphttps://github.com/EnableSecurity/wafw00fhttps://github.com/Ekultek/WhatWafhttps://github.com/0xInfection/Awesome-
作者:GuiltyFet原文链接:https://blog.csdn.net/weixin_51387754/article/details/116535215
觉得不错点个“赞”、“在看”哦
原文始发于微信公众号(哆啦安全):常见的WAF绕过进程及识别工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论