WAF的介绍判断及绕过分析

最新推荐文章于 2025-07-30 22:26:18 发布
原创 最新推荐文章于 2025-07-30 22:26:18 发布 · 5k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

文章详细介绍了WAF的工作原理,包括基于规则库匹配和语义引擎分析的两种类型,并提供了手动判断WAF存在的方法。重点讨论了如何通过各种技巧绕过WAF的检测,如SQL注入漏洞的绕过策略,包括大小写混淆、URL编码、替换关键字等。此外,还提到了寻找网站源站IP来规避云WAF的检测以及利用cookies注入等方法。

介绍WAF

网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。本文主要从绕过WAF过程中需要注意的角色和点出发,尝试理解它们的运作,构建一个简单的知识框架。

非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面,而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、扫操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。

WAF判断

1、sqlmap

如果网站有waf,sqlmap会提示

python sqlmap.py -u "https://www.ustc.edu.cn/" --identify-waf --batch

2、手动检测有没有WAF

直接在相应的网站的URL后面加上最基础的测试语句,比如union select 1,2,3%23,并且放入一个不存在的参数aaa

这里被拦截的表现为(增加了无影响的测试语句后):页面无法访问、响应码不同、返回与正常请求网页时不同的结果等。

http://127.0.0.1/1.php?aaa=1 union select 1,2,3%23

WAF的工作原理

WAF(Web Application Firewall) 可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。WAF针对的是应用层而非网络层的入侵,从技术角度应该称之为Web IPS。

WAF的主要难点是对入侵的检测能力,尤其是对Web服务入侵的检测,WAF最大的挑战是识别率。对于已知的攻击方式,可以谈识别率,但是对于未知的攻击手段,WAF是检测不到的。

基于规则库匹配的WAF

目前市面上大多数的WAF都是基于规则的WAF。即WAF对接数据收到的包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个恶意代码,从而对于进行阻断。所以,对于基于规则匹配的WAF,需要每天都及时更新最新的漏洞库。

对于这种WAF,它的工作过程是这样的:解析HTTP请求——>匹配规则——>防御动作——>记录日志 

具体实现如下:

解析http请求:协议解析模块
匹配规则:规则检测模块,匹配规则库
防御动作:return 403 或者跳转到自定义界面,或者不返回任何数据,或者拉黑IP
日志记录:记录到elk中

基于语义引擎分析的WAF

一般来说,规则引擎使用的正则规则的描述性比较强,对于强攻击特征的请求,正则规则的防护效果最佳。而当面对一些弱特征的攻击请求(例如XSS特征请求),即便您启用Web应用攻击防护的严格模式,依然可能因无法检测到而存在潜在的安全风险。

例如,可以通过启用Web应用防火墙的大数据深度学习引擎功能,识别并拦截Web应用攻击防护的严格规则无法识别的弱特征攻击请求。在本案例中,以下XSS攻击请求未被Web应用攻击防护规则拦截。

深度学习引擎防护案例

WAF的绕过

从WAF工作的过程我们可以看到,要想绕过WAF,我们只有在 WAF解析HTTP请求 或 WAF匹配规则 两个地方进行绕过。因为第三、四步是WAF匹配到攻击之后的操作,这时候WAF已经检测到攻击了。

以SQL注入漏洞为例

1、大小写混合:uNion sElEct 1,2,3,4,5

2、URL编码,可进行二次URL编码

3、替换关键字,ununionion seselectlect 1,2,3,4,5

4、使用注释,union /*2333*/ select /*aaaa*/1,2,3,4,5   还可使用内联注释

5、多参数请求拆分法,

6、HTTP参数污染

当同一参数出现多次,不同中间件解析成不同的结果。

web应用层参数污染(HPP)漏洞

HPP漏洞,与Web服务器环境、服务端使用的脚本有关。如下是不同Web服务器对于出现多个参数时的选择:

7、生僻函数

例如在报错注入中使用polygon()函数替换常用的updatexml()函数,如下所示:

SELECT polygon((select*from(select*from(select@@version)f)x));

8、寻找网站源站IP

对于云waf,只需找到网站的ip地址,然后通过ip访问网站,就可以绕过云waf的检测

常见找网站IP方法:

  • 寻找网站的历史解析记录
  • 多个不同区域ping网站,查看ip解析的结果
  • 找网站的二级域名、NS、MX记录等对应的IP。
  • 订阅网站邮件,查看邮件发送方的ip

9、注入参数到cookies中

有些程序员在代码中使用$_REQUEST获取参数,而$REQUEST会依次从/GET/POST/cookie中获取参数,如果WAF只检测了GET/POST而没有检测cookie,可以将注入放入cookie中进行绕过

参考链接:WAF的工作原理和绕过浅析

网络安全之WAF 识别与绕过终极指南 指纹识【判断是否存在WAF】识别工具(3/23更新)
盾悟
02-01 8586
waf绕过和鉴权过waf的手段 sql注入绕过waf在请求数据包中的数据 都需要过waf 这种都是可以在编码中绕过自己写绕过规则 在sqlmap tamper中写入自己的py文件WAF识别。
网络攻防对抗中如何判断当前IP是不是被waf 拦截了?有哪些检测方法?给出10种不同检测方案实现步骤,如何通过被动资产收集降低被waf拦截的概率?如何识别具体的waf并找到真实的服务器IP地址?
最新发布
代码讲故事
09-05 268
网络攻防对抗中如何判断当前IP是不是被waf 拦截了?有哪些检测方法?给出10种不同检测方案实现步骤,如何通过被动资产收集降低被waf拦截的概率?如何识别具体的waf并找到真实的服务器IP地址?最受推崇的WAF探测工具,并附有详细的安装和使用介绍,如何精准的识别资产,针对大量的垃圾资产进行过滤,比如cdn资产等,附完整的代码实现。
WAF判断
YouthBelief的博客
10-13 727
文章目录WAF判断常见的waf分类工具wafw00fidentYwaf总结 WAF判断 常见的waf分类 1.云waf:阿里云顿 百度安全宝,长亭雷池 2.硬件waf:绿盟、深信服、奇安信等 3.软件waf:安全狗、D盾、云锁、宝塔 4.代码waf 自己代码里写的waf规则。 工具 wafw00f 工具地址 github地址:https://github.com/EnableSecurity/wafw00f 使用方法 waf00f -l 列出可识别的waf wafw00f 直接+ url 判断
WAF检测研究一
weixin_43977912的博客
03-10 668
1 敏感内容扫描 俗话说知己知彼方能百战不殆,当黑客或渗透测试人员面对一个未知站点时,这个站点对他们来说就是一个黑盒。这时候不妨拿敏感内容扫描器先给它来个一把嗦摸摸底,指不定就能扫到有价值信息,找到撬动安全防护缺口的第一把钥匙。 敏感内容扫描器通常具备一系列敏感路径及敏感文件的字典,扫描器利用这些敏感内容字典对站点进行盲扫来判断是否存在这些敏感内容;进一步地,通过响应数据包对站点目录结构及其他信息进行判断,为下一步针对性单点突破作准备。 这里提到了一个字典的概念,字典这玩意很重要,可以说字典的质量、广度和.
sqlmap识别网站WAF_如何判断网站WAF
weixin_30532987的博客
01-12 1520
sqlmap中自带了识别waf的模块可以识别出网站waf种类,如果安装的waf没有什么特征,识别出来的就是:Generic。 sqlmap识别命令: sqlmap.py -u “http://www.xxx.com” --identify-waf --batch 详细的识别规则在sqlmap的waf目录下,也可以自己编写规则,写好了直接放waf目录下即可。 转载于:https://...
WAF的识别、检测、绕过原理与实战案例
2301_81250923的博客
11-30 4371
WAF通过配置DNS解析地址、软件部署、串联部署、透明部署、网桥部署、反向代理部署、旁路部署等获取攻击流量,基于规则进行攻击特征匹配,或利用其他方式进行攻击检测及阻断。
如何识别网站是否有WAF
wutiangui的博客
07-09 1827
使用:进入wafw00f文件夹,启动cmd。输入python main.py url 即可以探测目标网站是否存在waf。安装:在此目录下创建CMD窗口,输入 python setup.py install。安装成功后,显示版本信息.如果扫不出来应该是字典里没有对应的关键字,需要自己填充。我们可以对没有开启WAF的做目录扫描。使用工具识别:wafw00f。像这种的是没有WAF的。而这种的就是有WAF的。
WAF 规则绕过绕过终极指南:从 SQL 注入到高级编码技术(3.21 更新)
热门推荐
盾悟
01-27 1万+
测试最新版本的WAF可以完美绕过。这个需要mysql版本大于5.00.00。/*|%23--%23|*/ 注释符号 *|%23--%23|* 干扰符号。在mysql中这个不是注释,而是取消注释的内容。这个方法也可以部分绕过最新版本的WAF。/包含关键词进行绕过。用一些特殊字符代替空格,特殊字符拼接绕过waf。Mysql 内置得方法。Waf触发规则的绕过
如何绕过WAF实现SQL注入攻击?​
w2361734601的博客
04-12 1486
在渗透测试中,SQL注入(SQLi)始终是Web安全的核心漏洞之一。然而,随着企业广泛部署Web应用防火墙(WAF),传统的注入攻击往往会被拦截。绕过WAF的SQL注入需要结合对目标防护规则的深入分析,灵活运用混淆技术。作为防御方,需通过多层防护机制(代码安全+WAF+监控)构建纵深防御体系。WAF的正则规则通常区分大小写,通过混合大小写插入随机空白符可绕过检测。利用时间盲注的延迟特性,避免触发WAF的响应内容检测。​:通过混淆攻击载荷,绕过正则匹配和语义分析。)分割关键词,干扰WAF的语义分析
【文件上传waf绕过练习】
My笔记的博客
06-17 1477
【文件上传waf绕过练习】
反序列化漏洞 Waf 绕过技术:解析与执行的认知博弈
syg6921008的博客
04-08 1629
在当前的安全攻防实践中,针对反序列化漏洞的 WAF 检测机制仍存在诸多盲区与不完善之处。为了更深入地理解其绕过方式,我查阅了大量公开研究、实战案例与工具源码,并系统性地梳理出了9 类典型的反序列化漏洞 WAF 绕过技术策略。“在不被识别为恶意的前提下,如何让 payload 既具备混淆性,又能精准执行?WAF 绕过从来不只是编码和隐藏,更是一种关于解析、执行路径与安全策略认知的博弈。希望本文的内容,能为你的实战思路带来一些启发。💡。
从一开始的网络攻防(十四):WAF绕过
Neolock的博客
07-30 1203
BYPASSWAF技术是通过分析WAF设备与后端应用处理差异实现的防护绕过方法。文章详细解析了WAF的四种部署模式(云WAF、主机防护软件、硬件设备、软WAF)及其工作流程,重点阐述五层绕过技术:1)Web架构层(真实IP获取、畸形数据包);2)Web服务器层(Apache/IIS特性利用);3)应用层(参数污染、编码转换);4)数据库层(SQL语法特性);5)WAF层(性能负载攻击、模糊测试)
WAF的简介与识别
z1moq的博客
07-27 1445
WAF简介 WAF( Web Application Firewall ) Web应用防火墙,部署在web应用程序前面,在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量,可以防止源自web应用程序的安全漏洞(如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞等)的攻击。 检测大多数是基于“正则表达式”和“AI+规则”的方法,有一定的几率绕过 常用的12种WAF绕过方法 1. 大小写
WAF功能整理总结
ym2333的博客
06-17 993
根据网上一些资料,从概念、功能、部署简单整理了一下。可能不是很全,届时再进行完善补充
WAF/Web应用安全(拦截恶意非法请求)
★【World Of Moshow 郑锴】★
07-21 2799
Web 应用防火墙(Web Application Firewall, WAF)通过对 HTTP(S) 请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、跨站请求伪造等攻击,保护 Web 服务安全稳定。Web 安全是所有互联网应用必须具备的功能,没有安全防护的应用犹如怀揣珠宝的儿童独自行走在盗贼环伺的黑夜里。我们准备开发一个 Web 应用防火墙,该防火墙可作为 Web 插件,部署在 Web 应用或者微服务网关等 HTTP 服务的入口,拦截恶意请求,保护系统安全。
Web--WAF检测工具
zhaji001
10-18 7285
WAF waf是一个web应用的保护装置,入侵检测系统IDS,入侵阻止系统IPS. nmap nmap -p 80 --script http-waf-detect.nse www.baidu.com Nmap scan report for www.baidu.com (61.135.169.125) Host is up (0.0042s latency). Other address...
08信息收集--WAF分析
En_ter的博客
10-14 666
waff00f-master目录下如果有setup.py文件直接下一步,因此,在我们做信息搜集的时候检查测试网站有没有WAF是非常重要的一个环节。在我们做安全测试的时候可谓是困难重重,其中就有我们“可爱的”下载安装包,在安装waff00f之前需要先安装python3。在对网站进行安全测试的时候,要记得先查询网站是否有WAF。进入wafw00f文件,同样的方法创建一个。要是你的测试网站WAF,那就难搞了。在网站的一些反应包里可能会有蛛丝马迹。测试百度的网站就发现了WAF。在有WAF的情况下进行。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值