0x00 前言
某一天,女神给我发消息了。不行,我要学bypass,我要重新追回我的女神!
0x01 waf的类别
一、云waf
阿里云盾 腾讯网站管家 创宇盾 CloudFlare
二、软件类
安全狗 云锁 360主机卫士 ModSecurity
三、硬件类
启明星辰 绿盟 天融信 飞塔
0x02 waf的部署模式
一、dns解析模式
图中意思就说,咱给要防护的网站设置一个cname记录,比如www指向我们的WAF ip 1.1.1.1,这样www网站的流量会解析到WAF那里。
这种模式下,找到真实ip可能直接绕过检测。
二、串联模式
像串葫芦一样串起来
这种模式当数据溢出WAF临界值,WAF可能就无法检测了。
注意:不能超过咱后端检测范围哈。
三、旁路模式
利用流量镜像模式复制网址流量,把流量传给WAF进行分析。
在这种模式下,不太可能存在数据溢出绕过风险。
0x03 waf的防御思想
一、黑白思想:WAF的防御思想通常采用黑白名单机制。黑名单包括已知的恶意IP地址、攻击模式等,而白名单则包括可信任的IP地址或用户。通过对比用户请求与黑白名单,WAF可以决定是否允许或拦截请求。
二、特征匹配、漏洞签名:WAF利用特征匹配和漏洞签名技术来检测恶意攻击。特征匹配通过事先定义的攻击特征进行匹配,而漏洞签名则是根据已知漏洞的特征进行检测。
三、匹配结果进行响应:当WAF检测到用户请求中存在恶意特征或漏洞签名时,会进行相应的响应。这包括拦截恶意请求、记录日志以便进一步分析、通知管理员等措施,以防止潜在的攻击行为。
四、行为分析:除了特征匹配和漏洞签名,WAF还可以通过行为分析来检测潜在的攻击。行为分析基于用户的行为模式和流量特征,识别异常的行为并及时采取相应的防御措施。
五、实时更新和学习:WAF需要定期更新规则库和漏洞签名,以适应不断变化的安全威胁。同时,一些高级WAF还具有学习能力,可以根据实际情况自动学习新的攻击模式,提高检测准确性。
0x04 waf的绕过思想
一、WAF做不到百分百覆盖编程语言、中间件、数据库、协议的特性,可以利用编程语言的语法糖、中间件的健壮性、数据库的偏门语法、变换http协议编码等,使WAF无法识别,而后端可以识别。
二、参数污染
三、分块传输,由于每个分块单独传输,WAF无法在接收到所有分块之前完全重组和检测整个恶意请求。
四、WAF存在0day漏洞
五、根据WAF的防御思想进行FUZZ测试,比如寻找黑名单特征未覆盖的语法。
0x05 下期预告
实战长亭WAF pro版
原文始发于微信公众号(rainy的安全小屋):BypassWAF研究系列-WAF基础
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论