在本篇文章中��,我們將闡明與 WAF(Web 應(yīng)用程序防火墻)安全性相關(guān)的所有概念���。我們還將了解如何繞過防火墻��,以便師傅們能夠?yàn)榇蠖鄶?shù)惡意威脅和漏洞做好準(zhǔn)備����。 WAF 繞過是最受關(guān)注的概念之一�����,因?yàn)槿缃窀呒壨{正以 Web 應(yīng)用程序?yàn)槟繕?biāo)來獲取大量數(shù)據(jù)���。
什么是 Web 應(yīng)用程序防火墻��?
Web 應(yīng)用程序防火墻 (WAF) 是一種安全工具�,可為 Web 應(yīng)用程序提供針對各種攻擊的保護(hù)���,例如 SQL 注入���、跨站點(diǎn)腳本和其他常見漏洞��。WAF 部署在 Web 服務(wù)器或應(yīng)用程序前面�,分析所有傳入的 HTTP/HTTPS 流量并阻止任何符合預(yù)定義安全規(guī)則的請求���。
可以將它們配置為根據(jù) IP 地址�、用戶代理和其他請求屬性等各種標(biāo)準(zhǔn)僅允許特定類型的流量到達(dá) Web 應(yīng)用程序���。WAF 使用多種技術(shù)來檢測和預(yù)防攻擊���,例如基于簽名的檢測、異常檢測和行為分析���。
它們還可以提供其他安全功能���,例如加密和身份驗(yàn)證。WAF 是保護(hù) Web 應(yīng)用程序的重要工具���,但它們并不是完整的解決方案�,應(yīng)與其他安全措施(例如安全編碼實(shí)踐、定期漏洞掃描和滲透測試)結(jié)合使用�。
WAF 如何工作�����?
Web 應(yīng)用程序防火墻 (WAF) 的工作原理是檢查傳入 Web 應(yīng)用程序的 Web 流量���、分析請求并根據(jù)一組預(yù)定義的安全規(guī)則阻止任何惡意或可疑請求���。以下是 WAF 工作原理的基本步驟:
1.流量攔截:WAF 位于互聯(lián)網(wǎng)和 Web 服務(wù)器/應(yīng)用程序之間,攔截所有 HTTP/HTTPS 請求����。
2.流量分析:WAF 分析請求標(biāo)頭和正文,尋找已知的攻擊模式和特征�,例如 SQL 注入、跨站點(diǎn)腳本和其他漏洞���。
3.規(guī)則匹配:WAF 根據(jù)一組預(yù)定義的安全規(guī)則檢查請求��,這些規(guī)則定義了允許或阻止的內(nèi)容���?���?梢耘渲靡?guī)則以匹配特定模式����,例如某種類型的 SQL 注入或特定用戶代理。
4.決策:如果請求符合其中一條安全規(guī)則����,WAF 將阻止該請求并向客戶端發(fā)送錯誤消息或采取安全策略定義的其他操作。如果請求不符合任何規(guī)則�,則允許其傳遞到 Web 服務(wù)器/應(yīng)用程序。
5.日志記錄和報(bào)告:WAF 記錄所有流量和安全事件����,允許管理員監(jiān)控和分析流量和安全事件。
除了這些基本步驟之外����,WAF 還可以使用機(jī)器學(xué)習(xí)和行為分析等各種先進(jìn)技術(shù)來檢測和預(yù)防零日攻擊和其他新興威脅。
總體而言�����,WAF 為 Web 應(yīng)用程序提供了一層重要的安全保障,可以幫助組織防御各種攻擊���。
Web 應(yīng)用程序防火墻的類型:
根據(jù)所需的安全操作類型���,有三種可配置的防火墻模型。雖然每種類型都有各自的優(yōu)點(diǎn)和缺點(diǎn)����,但建議在決定哪種類型最適合自己的要求之前��,先了解每種類型����。
阻止名單/黑名單
這種方法根據(jù)預(yù)先定義的已知惡意行為者、IP 地址或域名列表阻止對資源的訪問�。這種方法可以有效抵御已知威脅,但可能無法防范新的或未知的威脅�����。
允許名單/白名單
此方法僅允許預(yù)先定義的已批準(zhǔn)用戶�、IP 地址或域名列表訪問資源。此方法可能更安全���,因?yàn)樗鼉H允許已批準(zhǔn)實(shí)體訪問�,但可能更難管理,因?yàn)樗枰l繁更新列表���。
黑白名單相結(jié)合
這種方法結(jié)合了黑名單和白名單方法���,提供了一種全面的訪問控制方法。通過同時(shí)使用這兩種方法��,組織可以阻止已知的惡意行為者訪問資源��,同時(shí)允許已獲批準(zhǔn)的實(shí)體訪問��。
總體而言��,方法的選擇取決于組織的具體需求和安全要求�����。
結(jié)合 WAF��,可以使用黑名單����、白名單和混合方法來提供針對 Web 應(yīng)用程序威脅的額外保護(hù)層���,從而增強(qiáng)安全性。
WAF 實(shí)施的類型
WAF 實(shí)施必須適合組織需求才能提供保護(hù)�。下面已細(xì)分三種類型的 WAF 實(shí)施策略,以便更好地評估最適合需求的理想解決方案�。
1.基于主機(jī)的 WAF
此部署選項(xiàng)涉及直接在 Web 服務(wù)器上安裝 WAF 軟件。WAF 作為操作系統(tǒng)內(nèi)的模塊或 Web 服務(wù)器軟件的擴(kuò)展運(yùn)行��。基于主機(jī)的 WAF 通常是基于軟件的 WAF��,可以對服務(wù)器的 Web 流量提供精細(xì)控制�����,但可擴(kuò)展性可能有限并且需要更多資源來維護(hù)���。
2.基于云的 WAF
此部署選項(xiàng)涉及將 WAF(Web 應(yīng)用程序防火墻)部署為云中的服務(wù)?�;谠频?WAF 通常由第三方提供商提供���,例如 Amazon Web Services (AWS) 或 Microsoft Azure�����。基于云的 WAF 可以提供高度的可擴(kuò)展性���、靈活性和減少的維護(hù)�����,但成本可能更高并且需要對第三方提供商有更多的信任�。
3.基于網(wǎng)絡(luò)的 WAF
此部署選項(xiàng)涉及將 WAF 放置在客戶端和服務(wù)器之間并監(jiān)控它們之間的所有流量���。基于網(wǎng)絡(luò)的 WAF 可以基于硬件或基于軟件����,可以提供針對 Web 應(yīng)用程序威脅的全面保護(hù)��。但是����,它們可能具有更高的延遲,并且需要更復(fù)雜的網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����。
總體而言��,WAF 部署選項(xiàng)的選擇取決于組織的特定需求和安全要求,以及預(yù)算���、現(xiàn)有基礎(chǔ)設(shè)施和員工資源等因素���。
可以遵循以下一些技術(shù)來繞過 WAF,以確保在威脅發(fā)現(xiàn)時(shí)有一個(gè)行動計(jì)劃����。
案例:
一些 Web 應(yīng)用程序防火墻不夠完善,只能過濾某些場景�。為了優(yōu)化有效負(fù)載的創(chuàng)建,可以使用大寫和小寫字符的組合��。
標(biāo)準(zhǔn):<script>alert()</script>
已繞過:<ScRipT>alert()</sCRipT>
URL 編碼
要轉(zhuǎn)換常規(guī)有效負(fù)載�����,可以使用 % 編碼或 URL 編碼等編碼方法����。有在線工具可用于此目的�����。Burp 配備了內(nèi)置編碼器/解碼器功能。
已阻止:<svG/x=”>”/oNloaD=confirm()//
已繞過:%3CsvG%2Fx%3D%22%3E%22%2FoNloaD%3Dconfirm%28%29%2F%2F
Unicode 編碼
該技術(shù)可用于大多數(shù)現(xiàn)代 Web 應(yīng)用程序��,這些應(yīng)用程序通常使用 UTF-8 編碼����,因此容易受到攻擊。
Unicode 編碼的 ASCII 字符可以提供繞過安全措施的有用替代方案��?���?梢詫ν暾虿糠钟行ж?fù)載進(jìn)行編碼以實(shí)現(xiàn)所需的結(jié)果。
標(biāo)準(zhǔn):prompt()
模糊處理:\u0070r\u06f\u006dpt()
HTML 編碼
通常���,Web 應(yīng)用程序會將特殊字符轉(zhuǎn)換為 HTML 編碼格式并適當(dāng)?shù)仫@示它們��。這可以通過通用方法或數(shù)字方法實(shí)現(xiàn)涉及 HTML 編碼的基本繞過場景��。
標(biāo)準(zhǔn):“><imgsrc=xonerror=confirm()>
編碼:"><img src=x onerror=confirm()> (一般形式)
編碼:"><imgsrc=xonerror=confirm()>(數(shù)字參考)
混合編碼
Web 應(yīng)用程序防火墻 (WAF) 規(guī)則通常針對特定類型的編碼��。但是���,可以通過使用混合編碼負(fù)載(結(jié)合多種編碼技術(shù))來規(guī)避此類過濾器。此外����,使用制表符和換行符也有助于混淆負(fù)載����。
混淆:
使用注釋
評論可以隱藏標(biāo)準(zhǔn)有效載荷向量����,并且不同類型的有效載荷可能需要不同的混淆方法。
已阻止:<script>alert()</script>
繞過:<!–><script>alert()</script>
雙重編碼
雙重編碼是一種通過對字符進(jìn)行兩次編碼來繞過 Web 應(yīng)用程序防火墻 (WAF) 的技術(shù)����。例如,如果 WAF 旨在阻止 URL 編碼中使用的 % 字符�,那么攻擊者可以將該字符雙重編碼為 %25 以繞過 WAF。
通配符混淆技術(shù)
通配符混淆是一種使用通配符繞過 Web 應(yīng)用程序防火墻 (WAF) 的技術(shù)�。該技術(shù)涉及以 WAF 無法識別的方式對有效負(fù)載進(jìn)行編碼。以下代碼片段演示了如何使用通配符混淆:
輸入:SELECT * FROM users WHERE username = ‘a(chǎn)dmin’ AND password = ‘password’編碼有效載荷:SELEC%2A%2AFROM%2A%2Ausers%2A%2AWHERE%2A%2Ausername%2A%2A%3D%2A%2A’admin’%2A%2AAND%2A%2Apassword%2A%2A%3D%2A%2A’password’解碼的有效載荷:SELECT**FROM**users**WHERE**username**=**’admin’**AND**password**=**’password’
在此示例中�����,星號 (*) 用作通配符���,以替換原始 SQL 查詢中的空格。WAF 不會將編碼的有效負(fù)載識別為 SQL 查詢��,并會允許其通過。
通過使用此技術(shù)����,攻擊者可以逃避旨在阻止某些字符或關(guān)鍵字的 WAF。
垃圾字符技術(shù)
垃圾字符技術(shù)是一種通過在有效負(fù)載中插入隨機(jī)或無意義的字符來繞過 Web 應(yīng)用程序防火墻 (WAF) 的方法�。以下代碼片段演示了如何使用垃圾字符來逃避 WAF:
基本請求:<script>confirm()</script>
混淆有效負(fù)載:<script>+-+-1-+-+confirm()</script>
換行技巧
換行技術(shù)是一種通過在有效負(fù)載中插入換行來繞過 Web 應(yīng)用程序防火墻 (WAF) 的方法。
該技術(shù)涉及將有效載荷分成多行并插入換行符以隱藏惡意代碼�。以下是換行符技術(shù)的示例:
基本請求:<iframe src=javascript:confirm(hacker)”>混淆有效負(fù)載:<iframe src=”%0Aj%0Aa%0Av%0Aa%0As%0Ac%0Ar%0Ai%0Ap%0At%0A%3Aconfirm(hacker)”>
閱讀原文:原文鏈接
該文章在 2025/6/2 13:16:45 編輯過
400 186 1886
