Web安全原理剖析(三十)——WAF
目录
-
- 十三、WAF
-
- 13.1 介绍WAF
- 13.2 WAF判断
- 13.3 一些WAF的绕过方法
十三、WAF
13.1 介绍WAF
这里主要介绍wAF(Web Application Firewll,Web应用防火墙)及其相关的知识,这里利用国际公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
WAF基本上可以分为以下几类。
- 软件型WAF
以软件形式装在所保护的服务器上的WAF,由于安装在服务器上,所以可以接触到服务器上的文件,直接检测服务器上是否存在WebShell、是否有文件被创建等。
- 硬件型WAF
以硬件形式部署在链路中,支持多种部署方式,当串联到链路时可以拦截恶意流量,在旁路监听模式时只记录攻击不进行拦截。
- 云WAF
一般以反向代理的形式工作,通过配置NS记录或CNAME记录,使对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将认为无害的请求报文再发送给实际网站服务器进行请求,可以说是带防护功能的CDN。
- 网站系统内置的WAF
网站系统内置的WAF也可以说是网站系统内置的过滤,直接镶嵌在代码中,相对来说自由度高,一般有以下几种情况。
-
输入参数强制类型转换(intval等)。
-
输入参数合法性检测。
-
关键函数执行(SQL执行,页面显示、命令执行等)前,对经过代码流程的输入进行检测。
-
对输入的数据进行替换过滤后再继续执行代码流程(转义/替换掉特殊字符等)。
网站系统内置的WAF与业务更加契合,在对安全与业务都比较了解的情况下,可以更少地收到误报与漏报。
13.2 WAF判断
- SQLMap
使用SQLMap中自带的WAF识别模块可以识别出WAF的种类,但是如果所安装的WAF并没有什么特征,SQLMap就只能识别出类型是Generic。
- 手工判断
这个也比较简单,直接在相应网站的URL后面加上最基本的测试语句,比如union select 1,2,3%23,并且放在一个不存在的参数名中。
被拦截的表现为(增加了无影响的测试语句后):页面无法访问、响应码不同、返回与正常请求网页时不同的结果等。
13.3 一些WAF的绕过方法
这里主要介绍SQL注入漏洞的绕过方法,其余漏洞的WAF绕过方法在原理上是差不多的。
- 大小写混合
在规则匹配时指针对了特定大写或特定小写的情况,在实战中可以通过混合大小写的方式进行绕过(现在几乎没有这样的情况),如下所示。
uNion sElEct 1,2,3,4,5
- URL编码
- 极少部分的WAF不会对普通字符进行URL解码,如下所示。
union select 1,2,3,4,5
上述命令将被编码为如下所示的命令。
%75%6e%69%6f%6e%20%73%65%6c%65%63%74%20%31%2c%32%2c%33%2c%34%2c%35
- 还有一种情况就是URL二次编码,WAF一般只会进行解码,而如果目标Web系统的代码中进行了额外的URL编码,即可进行绕过。
union select 1,2,3,4,5
上述命令将被编码为如下所示的命令。
%2575%256e%2569%256f%256e%2520%2573%2565%256c%2565%2563%2574%2520%2531%252c%2532%252c%2533%252c%2534%252c%2535
- 替换关键字
WAF采用替换或删除select/union这类敏感关键词的时候,如果只匹配一次则很容易进行绕过。
union select 1,2,3,4,5
上述命令将转换为如下所示的命令。
ununionion selselectect 1,2,3,4,5
- 使用注释
注释在截断SQL语句中用得比较多,在绕过WAF时主要使用其替代空格(/*任意内容*/),适用于检测过程中没有识别注释或替换掉了注释的WAF。
union select 1,2,3,4,5
上述命令将转换为如下所示的命令。
union/*2333*/select/*aaa*/1,2,3,4,5
还可以使用前面介绍的内联注释尝试绕过WAF的检测。
- 多参数请求拆分
对于多个参数拼接到同一条SQL语句中的情况,可以将注入语句分割插入。
例如请求URL时,GET参数为如下格式。
a=[input1]&b=[input2]
将GET的参数a和参数b拼接到SQL语句中,SQL语句如下所示。
and a=[input1] and b=[input2]
这时就可以将注入语句进行拆分,如下所示。
a=union/*&b=*/select 1,2,3,4,5
最终将参数a和参数b拼接,得到的SQL语句如下所示。
and a=union /*and b=*/select 1,2,3,4,5
- HTTP参数污染
HTTP参数污染是指当同一参数出现多次,不同的中间件会解析为不同的结果,具体如表1所示(例子以参数color=red&color=blue为例)。
| 服务器中间件 | 解析结果 | 举例说明 |
|---|---|---|
| ASP.NET/IIS | 所有出现的参数值用逗号连接 | color=red,blue |
| ASP/IIS | 所有出现的参数值用逗号连接 | color=red,blue |
| PHP/Apache | 仅最后一次出现参数值 | color=blue |
| PHP/Zeus | 仅最后一次出现参数值 | color=blue |
| JSP,Servlet/Apache Tomcat | 仅第一次出现 | color=red |
| JSP,Servlet/Oracle Applocation Server 10g | 仅第一次出现 | color=red |
| JSP,Servlet/Jetty | 仅第一次出现 | color=red |
| IBM Lotus Domino | 仅最后一次出现参数值 | color=blue |
| IBM HTTP Server | 仅第一次出现 | color=red |
| mod_perl,libapreq2/Apache | 仅第一次出现 | color=red |
| Perl CGI/Apache | 仅第一次出现 | color=red |
| mod_wsgi(Python)/Apache | 仅第一次出现 | color=red |
| Python/Zope | 转化为List | color=[‘red’,‘blue’] |
在上述提到的中间件中,IIS比较容易利用,可以直接分割带逗号的SQL语句。在其余的中间件中,如果WAF中检测了同参数名中的第一个或最后一个,并且中间件特性正好取与WAF相反的参数,则可成功绕过。下面以IIS为例,一般的SQL注入语句如下所示。
Inject=union select 1,2,3,4
将SQL注入语句转换为以下格式。
Inject=union/*&inject=*/select/*&inject=*/1&inject=2&inject=3&inject=4
最终在IIS中读入的参数值将如下所示。
Inject=union/*,*/select/*,*/1,2,3,4
- 生僻函数
使用生僻函数替代常见函数,例如在报错注入中使用polygon()函数替换常用的updatexml()函数,如下所示。
SELECT polygon((select*from(select*from(select@@version)f)x));
- 寻找网站源站IP
对于具有云WAF防护的网站而言,只要找到网站的IP地址,然后通过IP访问网站,就可以绕过云WAF的检测。
常见的寻找网站IP的方法有下面这几种。
-
寻找网站的历史解析记录
-
多个不同区域ping网站,查看IP解析的结果。
-
找网站的二级域名、NS、MX记录等对应的IP。
-
订阅网站邮件,查看邮件发送方的IP。
- 注入参数到cookie中
某些程序员在在代码中使用$_REQUEST获取参数,而$_REQUEST会依次从GET/POST/cookie中获取参数,如果WAF只检测了GET/POST而没有检测cookie,可以将注入语句放入cookie中进行绕过。