Web应防火墙绕过技术.docVIP

Web应用防火墙绕过技术 　　摘要 中国论文网 /1/viewhtm　　Web安全一直是网络安全防护领域最为关注的问题，WAF（Web应用防火墙，Web Application Firewall）作为保障Web服务器安全一道重要防线，自产生起，其应用越来越广泛，国内外对其研究也越来越多。本文对Web应用防火墙的基本原理和工作流程，以及绕过Web应用防火墙的攻击方法进行了列举和原理分析，最后总结了WAF绕过的方法与技术。 　　【关键词】WAF绕过技术 防火墙 过滤规则 　　1WAF基本原理和工作流程 　　Web应用防火墙通过在应用层对请求服务器的内容进行规则匹配、行为分析等识别出恶意行为，并执行相关动作，这些动作包括阻断、记录、告警等。 　　Web应用防火墙的基本工作流程为：数据获取→数据清洗→规则匹配→二次检验。其中规则匹配指的是Web应用防火墙对数据进行清洗之后，将清洗处理完毕的数据与Web应用防火墙中的规则进行匹配，从而对客户端请求的数据流量中的恶意攻击行为进行正确识别，进而对其进行拦截与过滤。 　　通过处理流程可知，Web应用防火墙可能存在缺陷的地方在请求到达WAF之前（主要针对云WAF）、在WAF自身处理数据流量环节以及WAF处理与服务器端特性导致的处理不一致环节等。 　　2Web应用防火墙绕过技巧 　　绕过WAF的本质是绕过WAF设备（主要指云WAF）或者寻找WAF设备处理应用层数据存在缺陷的特性。攻击者利用这些存在缺陷的特性构造出WAF无法处理或不做处理而对应用程序会产生危害的有效载荷，从而绕过WAF防护。 　　绕过Web应用防火墙的技巧主要有： 　　（1）请求真实IP绕过WAF：主要针对云WAF，由于其部署架构的特性，并不是直接串在目标站点线路上，而是通过DNS解析的形式部署，此时可以先探测到目标站点的真实ip，然后在hosts文件中绑定好域名的真实ip，直接请求ip以此绕过WAF的检测。 　　（2）检测内容范围绕过：WAF性能限制，检测特定的内容前几k或几十k的内容，然后在此特定内容段内填充无用数据，payload放于无用数据用，?亩?达到绕过WAF检测的目的。 　　（3）检测规则绕过：利用WAF开发人员规则编写经验不足、规则覆盖面不全等问题，来绕过WAF检测，例如利用MySQL对一些特殊字符处理的特性、语法特性绕过。 　　3Web服务器层绕过 　　利用WAF和Web服务器处理输入不同时来进行绕过，也就是利用Web服务器的特性，WAF的解析与服务器端环境对于输入的解析存在差异从而可能导致出现WAF防护缺陷。 　　3.1IIS服务器特性 　　由前面可以看到IIS上部署的编程语言一般为ASP和ASPX，通过合理利用其特性，则可能达到绕过效果。如在ASP+IIS的环境下特殊字符“%”存在处理特性。当在ASP+IIS环境下输入“f%rom”的时候，在经过WAF时解析处理完毕后的结果可能是，而在到达服务器端ASP+IIS环境下的时候，解析处理完毕的结果就为“from”，从而绕过了WAF对于“from”的拦截。 　　3.2Apache服务器 　　3.2.1畸形请求方法 　　在一些版本的Apache服务器上进行请求的时候，服务器端对客户端的HTTP请求方法METHOD处理不当，当METHOD非设定的请求方式时会默认设置为GET请求。如果WAF进行请求处理的时候按照特定的请求方式（比如GET、POST等）来处理数据，就会因为之前不当的处理请求方式而对WAF进行绕过。 　　3.2.2畸形的boundary 　　在PHP+Apache的环境下，PHP解析multipartdata有其固有的处理特性，对于Content-Type中的boundary的识别，它只截取了逗号前面的内容。比如客户端设置的boundary为“----------698241790，test”，PHP在进行解析处理的时候只识别“----------698241790”，对于后面的内容都没有识别出来。但是在WAF进行解析处理的时候获取到的就很可能是整个字符串，从而对WAF进行绕过。 　　4缓冲区溢出绕过 　　缓冲区溢出绕过Web应用防火墙的方法，主要用于用C语言编写的Web应用防火墙，考虑到C语言没有缓冲区保护机制，若是通过客户端向服务器端请求的测试向量超过缓冲区长度时，WAF就无法对其进行处理，从而出现bug进而对Web应用防火墙成功实现绕过。比如客户端请求URL为“http：///sqltest.php？id=land（select1）=（select 0xB*50000）union select1，2，user（）”时，服务器端接收的数据经过WAF时，WAF无法对其进行处理，就直接将数据传给了服务器，从而造成SQL注入。 　　5结束语