一、WAF 及绕过 WAF 原理介绍
WAF 的定义:
waf,即 web 应用防火墙,是通过执行一系列针对 http/https 的安全策略来专门位 web 应用提供保护的一款产品。
waf 主要是通过内置的很多安全规则来进行放域,会对每个请求的内容根据安全规则进行检测并对不符合安全规则的做出响应的防御处理,从未保证 web 应用的安全性和合法性。
(顺便吆喝一句,民族企业核心部门年底前的一波岗,base 武汉、深圳、苏州等地,前、后端 or 测试>>> 机会;语言:Java、Js、测试、python、ios、安卓、C++ 等!
WAF 是如何工作的?
规则库:使用一组规则来区分正常的请求和恶意的请求。
自学习:有些 WAF 会使用学习模式通过了解用户行为自动添加规则。
WAF 的分类:
硬件 waf,软件 waf,云 waf,网站内置 waf 类。
WAF 绕过的原理:
1、一个何个的 waf 必须做好业务和安全的平衡,这个平衡不好就有可能被绕过或者是影响网站的业务。
2、waf 为了考虑通用性的问题,无法 100% 覆盖某些语言、中间件、数据库的特性;
3、硬件 waf 自身存在漏洞;
WAF 绕过的几个维度:
1、架构层面
2、协议、中间件、系统/数据库/编程语言
3、规则层面
二、手工及攻击识别 WAF
1、手工识别的方式通常是通过访问不存在的页面或带入恶意的字符,触发 WAF 的防护规则;
2、查看服务端拦截后返回的信息,也可以通过网页的头部 (header) 信息进行判断;
方法:
1、构造恶意请求字符分析网站响应或敏感页面
2、发起 http 请求包,分析响应数据;
3、通过访问不存在的页面来分析页面提示
识别是什么 waf
python3 sqlmap.py -u "http://www.chaitin.com"
三、绕过 WAF 的常见方式
1、pipline 绕过。
pipline 绕过是利用了 http 的管道化技术,当发起 http 请求,目标返回该请求的响应。WAF 也同样如此,我们使用管道化连接可以在发起请求的同时发送多个 HTTP 的请求 ,一旦 WAF 仅判断第一个请求那么就可以成功绕过 WAF。
pipline 绕过首先要进行两点设置:
(1)burpsuite 中去掉 「update content-length」。
(2) 将 http 请求包的连接状态改为持节连接的状态,即 Connection:keep-alive
(3) 进行完前两点设置后,开始下一步操作,将请求包复制到 uid=1 后面的位置,中间不需要空格。测试过程中服务端验证只需要带----cookie 即可,也就是第一个请求报带即可。发送修改后的双请求,返回响应也是两次,大多数 waf 只检测第一个请求,忽略第二个请求,从而绕过 WAF 的检测。
2、宽字节注入
款自己注入主要是源于程序员设置数据库编码与 php 编码设置为不同的两个编码,这样就可能会产生宽字节注入。程序员设置 mysql 连接时错误配置为:set character_set_client=gbk
php 代码:mysql_query("SET NAMES 'gbk' "); 如果数据库编码与 PHP 编码设置为不同的两个编码那么就有可能产生宽字节注入。
(1) 正常情况下当 GPV 开启或使用用 addslashes 函数过滤 get 或 post 提交的参数时,黑客使用的单引号 『就会被转义为:\』
(2) 但如果存在款自己注入,我们输入%df%27 时首先经过上面提到的单引号转义变成了%df%5c%27,之后在数据库查询前由于使用了 GBK 多字节编码,即在汉字编码范围内两个字节会被编码为一个汉字。然后 mysql 服务器会对查询语句进行 GBK 编码,从而导致了注入漏洞。
3、HTTP 协议覆盖绕过
WAF 在对 content-type 进行检查时,对 multipart/from-data 类型的检测比较少,或者把它当作文件上传进行检查,我们可以利用这一特性对 WAF 进行绕过。
方法:
通过狗仔 multipart/from-data 类型的方式绕过检测。构造内容实例:8765255278935,最后一 -- 分隔符 -- 结尾,表示请求体结束。
4、分块传输绕过
介绍:
分块传输编码是超文本传输协议 (HTTP) 中的一种数据传输机制,允许 HTTP 由内网服务器发送给客户端应用 (通常是网页浏览器) 的数据可以分成多个部分。分块传输编码旨在 HTTP 协议 1.1 版本 (HTTP/1.1) 中提供。
原理:
(1) 利用了 HTTP 分块传输编码的特性,将传输查询语句分块,从而绕过 WAF 的检查。
(2) 首先,根据分块传输的格式,分块传输需要在请求头添加 「Transfer-Encoding」,其值设为 「chunked」,表示将用 chunked 编码传输内容。设置成功后就可以进行多个分块数据的传输,消息体由数量未定的块组成,并以最后一个大小为 0 的块为结束,最后用长度为的块表示终止块。
(3) 最重要的是配置分块的数据,长度值必须为 16 进制,长度值为一行,数据值为一行。
代码审计-SQL 注入
RuoYi4.2 版本代码审计
作者:只吃十二分饱
链接:https://www.jianshu.com/p/0682d3d27c5e
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
文章来源:w2solo