[计算机软件及应用]waf绕过测试技术.pdfVIP

应用防火墙（WAF）绕过测试技术 By 吴卓群吴卓群 AboutAbout MeMe About Me 目前就职于杭州安恒信息技术有限公司，任信息安全服务 部副总监部副总监、高级安全研究员高级安全研究员。 从事多年的从事多年的webweb应用安全领域研究应用安全领域研究。。擅长漏洞发掘擅长漏洞发掘、、代码代码 审计。 WAF现状 WAF处理协议方式 WAFWAF绕过方法绕过方法 Web应用防火墙（WAF） Web应用防火墙是通过执行一系列针对HTTP/HTTPS 的安全策略来专门为Web应用提供保护的一款产品， 目 前技前技术已经相当成熟相当成熟 。 WAF的安全现状 WAF是保护WEB应用安全的设备，但缺乏足够的安全测 试，目前存在大量手段可完全绕过WAF的防护策略，对保 护站点进行攻击 针对针对waff的绕过手段可以通过不完善的策略进行绕过的绕过手段可以通过不完善的策略进行绕过，但但 风险更大的是利用解析错误彻底绕过保护 国内外无论是硬件国内外无论是硬件WAFWAF还是云还是云WAFWAF至少至少90%90%以上存在彻以上存在彻 底绕过的风险 WAF现状 WAF处理协议方式 WAFWAF绕过方法绕过方法 应用防火墙常见构架 IPSIPS模式模式 • 七层协议都通过程序解析，程序为实现会话保持，通 常协议解码较弱 代理模式 代理模式 利用或修改现有的web中间件实现代理，并在中间件上增加 防护模块实现防护。总体性能不如IPS模式 WAFWAF的挑战的挑战 WAF在web应用前可做为一个虚拟补丁，保护各种中间 件的安全。不同中间件对协议解析有一些微小的区别。 WAF需要在所有这些差别下防护所有被保护的站点 WAF需要在所有这些差别下防护所有被保护的站点 测试测试基基础础 HTTP协议——请求报文 GET请求数据包样例 GETGET /member/member.php?usernamephp?username=aaapasswordaaapassword=bbbbbbbb HTTP/1HTTP/1.11\\rr\\nn Accept: */*\r\n Accept-Language: zh-cn\r\n User-Agent: Mozilla/4.0\r\n Accept-Encoding: gzip, deflate\r\n Host: xxx.xxx.xxx\r\n Pragma: no-cache\r\n \r\n POST数据包样例 POSTPOST /member/member.phpphp HTTP/1HTTP/1.11\\rr\\nn Accept: */*\r\n Accept-Language: zh-cn\r\n User-Agent: Mozilla/4.0\r\n Content-Type: application/x-www-form-urlencode\r\n Accept-Encoding: gzip, deflate\r\n p g g p, Host: xxx.xxx.xxx\r\n Content-Length: 118\r\n Pragma:Pragma: nono-cachecache\\rr\\nn \r\n username=fsdfpassword=sdfloginsubmit=truereturn_type= 产生绕过的问题的根源 WWaff对数据包的解析和中间件的解析存在区别对数据包的解析和中间件的解析存在区别 ，导致可能绕导致可能绕 过waf