WAF分类与绕过思路

WAF分类

WAF可分为非嵌入型和嵌入型两类，其中非嵌入型包括硬WAF、云WAF、虚拟机WAF等，而嵌入型包括web容器模块类型WAF和代码层WAF。

WAF工作模式

关闭模式： 解绑域名，站点流量不经过WAF。

监听模式： 过规则后传递给web服务。

防护模式： 直接过规则，不传递给web服务。

WAF规则引擎原理

WAF的规则引擎主要分为请求过滤和响应过滤，包括网络层和应用层的过滤。请求过滤分为两大步骤，网络层过滤和应用层过滤。

WAF工作原理

WAF通过正则匹配对数据包进行过滤，识别出恶意攻击行为，并执行相应的阻断、记录、告警处理。基于规则匹配的WAF需要及时更新漏洞库。

WAF工作过程

1. 解析HTTP请求： 判断是否为HTTP/HTTPS请求，检查URL是否在白名单，根据结果决定是否交给后端Web服务器。
2. 匹配规则： 数据包解析后进入规则检测，识别出恶意攻击行为。
3. 防御动作： 符合规则则交给后端Web服务器，不符合规则的请求执行阻断、记录、告警处理。
4. 记录日志： 记录拦截情况，分析和追踪攻击行为。

WAF绕过

WAF绕过涉及信息搜集、漏洞发现、漏洞利用等层面。具体绕过手法包括数据包特征、请求速度、漏洞发现工具、漏洞利用技术等。

1. 信息搜集： 利用抓包技术、WAF说明、FUZZ测试等。
2. 漏洞发现： 使用综合工具如awvs、xray，单点工具如tpscan、wpscan，触发漏洞扫描。
3. 漏洞利用： 针对不同漏洞，采用相应的payload和技术，如SQL注入、文件上传、XSS跨站、RCE执行。
4. WAF绕过手法：
   • SQL注入：修改头部、加入代理绕过CC拦截、使用tamper模块。
   • 文件上传：截断payload，修改文件上传WAF绕过payload。
   • XSS跨站：使用xsstrike绕过，结合–timeout或–proxy绕过CC。
   • RCE执行：考虑加密加码绕过、算法可逆性、关键词绕过、提交方法等。
5. 权限控制： 针对脚本和工具，通过变异、混淆、覆盖等手法进行绕过。
6. 检测： 常规安全脚本和工具的使用，以及自行编写指纹变异和轮子，进行WAF绕过。

通过以上手法，可绕过WAF的检测，进行更深入的渗透测试。