WAF分类
WAF可分为非嵌入型和嵌入型两类,其中非嵌入型包括硬WAF、云WAF、虚拟机WAF等,而嵌入型包括web容器模块类型WAF和代码层WAF。
WAF工作模式
关闭模式: 解绑域名,站点流量不经过WAF。
监听模式: 过规则后传递给web服务。
防护模式: 直接过规则,不传递给web服务。
WAF规则引擎原理
WAF的规则引擎主要分为请求过滤和响应过滤,包括网络层和应用层的过滤。请求过滤分为两大步骤,网络层过滤和应用层过滤。
WAF工作原理
WAF通过正则匹配对数据包进行过滤,识别出恶意攻击行为,并执行相应的阻断、记录、告警处理。基于规则匹配的WAF需要及时更新漏洞库。
WAF工作过程
- 解析HTTP请求: 判断是否为HTTP/HTTPS请求,检查URL是否在白名单,根据结果决定是否交给后端Web服务器。
- 匹配规则: 数据包解析后进入规则检测,识别出恶意攻击行为。
- 防御动作: 符合规则则交给后端Web服务器,不符合规则的请求执行阻断、记录、告警处理。
- 记录日志: 记录拦截情况,分析和追踪攻击行为。
WAF绕过
WAF绕过涉及信息搜集、漏洞发现、漏洞利用等层面。具体绕过手法包括数据包特征、请求速度、漏洞发现工具、漏洞利用技术等。
- 信息搜集: 利用抓包技术、WAF说明、FUZZ测试等。
- 漏洞发现: 使用综合工具如awvs、xray,单点工具如tpscan、wpscan,触发漏洞扫描。
- 漏洞利用: 针对不同漏洞,采用相应的payload和技术,如SQL注入、文件上传、XSS跨站、RCE执行。
- WAF绕过手法:
- SQL注入:修改头部、加入代理绕过CC拦截、使用tamper模块。
- 文件上传:截断payload,修改文件上传WAF绕过payload。
- XSS跨站:使用xsstrike绕过,结合–timeout或–proxy绕过CC。
- RCE执行:考虑加密加码绕过、算法可逆性、关键词绕过、提交方法等。
- 权限控制: 针对脚本和工具,通过变异、混淆、覆盖等手法进行绕过。
- 检测: 常规安全脚本和工具的使用,以及自行编写指纹变异和轮子,进行WAF绕过。
通过以上手法,可绕过WAF的检测,进行更深入的渗透测试。
© 版权声明
THE END
暂无评论内容