一、WAF简介
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
二、WAF分类
- 四类:
- 云WAF
- 腾讯云
- 百度云
- 阿里云盾
- 奇安信网站卫士
- 软件WAF
- d盾:http://www.d99net.net/
- 云锁:https://yunsuo.qianxin.com/
- 网防:http://www.weishi110.cn/static/index.html
- 安全狗:https://www.safedog.cn/
- 护卫神:https://www.hws.com/
- 智创:https://www.zcnt.com/
- 悬镜:https://www.xmirror.cn/
- upupw:https://www.upupw.net/
- wts-waf:https://www.west.cn/
- 安骑士:https://help.aliyun.com/product/28449.html
- dotdefender:http://www.applicure.com/products/
- 硬件WAF
- 绿盟: https://www.nsfocus.com.cn/
- 安恒:https://www.dbappsecurity.com.cn/
- 依(yi)迅:https://www.yxlink.com/
- f5 big-ip:https://www.f5.com/
- 天融信
- 深信服
- 启明星辰
- 知道创宇
- 网站内置WAF
- 在搭建网站的时候,自己编写过滤规则。
- 在搭建网站的时候,自己编写过滤规则。
三、WAF常见的检测机制
- 异常检测协议
- 拒绝不符合HTTP标准的请求
- 增强输入验证
- 对恶意字符进行拦截
- 及时补丁
- 及时修复新型Bug
- 机油壶规则的保护和基于异常的保护
- 基于规则的保护提供各种web应用的安全规则
- 状态管理
- 判断用户是否是第一次访问,将请求重定向到默认登录页并且记录事件,或对暴力破解行为进行拦截
- 其他防护技术
- 隐藏表单域保护,抗入侵规避技术,响应监视和信息泄露保护
- 配置规则
- 自定义防护规则
- 自定义防护规则
四、WAF的识别
网站常见WAF拦截页面:https://blog.csdn.net/qq_51577576/article/details/128165335
nmap:nmap -p 80 --script http-waf-fingerprint www.varin.cn
五、Bypass 技巧-服务器特性
六、Bypass 技巧-应用层特性
七、Bypass 技巧-WAF层特性
八、Bypass 技巧-数据库特性
简介
可以利用数据库特性来进行WAF绕过,如:
# 内联注释:
/*!12345 union*/ select # 当MySQL数据库版本号大于1.23.45时,执行
# Mysql黑魔法:
select {x user} from {x mysql.user}
# 换行符绕过:
%23%0a 、 %2d%2d%0a
MySQL注释
# 三种 # -- /**/
# /!**/ 表示不注释
use `security`;
select * from users where id =1 # test
;
select * from users where id = 1 -- test
;
select * from users where /*test*/id = 1
常用插入位置
select * from users where id=1 位置1 union 位置2 select 位置3 1,2,位置4 from 位置5 abc
