WAF对WebShell流量检测的性能分析是怎样的


今天给大家介绍一下WAF对WebShell流量检测的性能分析是怎样的。文章的内容小编觉得不错,现在给大家分享一下,觉得有需要的朋友可以了解一下,希望对大家有所帮助,下面跟着小编的思路一起来阅读吧。从保留的截图来看,对方的php版本是5.6.40,所以我要搭一个apache+php5.6.40的测试环境。打开virtualbox,链接复制出来一份centos镜像系统,按照以下流程配置一遍。
1. 安装apache
2. 安装php5.6
做一个index.php用以显示phpinfo(),本机访问时为了测试方便关闭firewalld
3.为了后面查看攻击流量,再装一个wireshark,包含wireshark-gnome等等,直接用*替代了。4.配置apache-modsecurity手边没有waf设备,没法对流量进行测试,于是用mode-security,以及OWASP(开放Web应用程序安全性项目)核心规则集-CRS进行测试,纵然效果不如实际场景来的直观,但足以说明问题。modsecurity的默认配置是检测到攻击会阻断,我们将它改为只记录。
测试一些攻击向量会在log里看到记录,证明配置完成。环境搭建完成。首先免费云主机域名写个一句话看看明文webshell流量传输。
配置蚁剑进行连接
用wireshark查看测试连接的流量
为了更加清楚antsword发出的流量包,我认真看了一下发的包,并查了一些相关函数,做注释的同时感叹了PHP函数的牛逼,并勾起了我的好奇心,对这几个函数做了本地测试。
果然牛逼!和返回包现象保持了一致。同时也说明了如果明文直接进行探测,这种流量在waf面前无异于自投罗网!
waf测试结果如下:
统计数据如下,匹配规则数按照grep line|wc -l计算
接下来我们先测对称密码。
Antsword自带几个可供测试的shell,给我们提供了非常大的方便。我顺便贴一下代码。先来看看base64的代码
base64加密之后的流量除了eval之外至少不会包含那么多的高危函数,加密之后我们再来测试。
waf测试结果如下:
统计数据如下通过Antsword界面配置rot13加密及解密,抓包看了下流量,仅仅是将base64的加密函数变成了str_rot13拦截数据和base差不多,waf统计数据如下由此可见,对称加密算法下eval、base64,rot13这些函数也是可以触发较高告警等级的。但是相比于明文传输,触发的告警会少一半,于是笔者进一步尝试一下antsword提供的非对称加密算法。版本>=2.1.0开始,Antsword作者新增了RSA模式。蚁剑默认下仅支持PHP。另外需要Server开启php_openssl拓展。使用方法:1、将下方的php代码copy到虚拟机里,命名为rsa.php2、配置antsword连接类型选择rsa_php3、测试连接贴上wireshark抓的流量经历非对称加密算法之后,整个流量传输的数据除了length之外,肉眼已经分别不出来, 这个效果笔者比较满意.waf也只能检测到Host header is a numeric IP address,这基本是说waf对于RSA加密的webshell流量基本没什么防护能力,往后的安全设备检测只能依赖于杀毒软件。这样的加密程度对笔者本次实验来说已经够用了。但是同样还存在着很多很多的问题,比如绕杀软,混淆代码等等,每一个方向都需要专注、细心、长久的投入。以上就是WAF对WebShell流量检测的性能分析是怎样的的全部内容了,更多与WAF对WebShell流量检测的性能分析是怎样的相关的内容可以搜索云编程开发博客之前的文章或者浏览下面的文章进行学习哈!相信小编会给大家增添更多知识,希望大家能够支持一下云编程开发博客!

相关推荐: 怎么综合利用Self-XSS和OAuth错误配置实现Stored-XSS

怎么综合利用Self-XSS和OAuth错误配置实现Stored-XSS,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。下面是对Self-XSS和OAuth错误配置两个低危漏洞的组合利用,形成Sto…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 02/07 10:51
Next 02/07 11:07