waf绕过测试技术_图文.docVIP

By ? 吴卓群 About ? Me About Me ?目前就职于杭州安恒信息技术有限公司,任信息安全服务 部副总监 高级安全研究员 部副总监、高级安全研究员。 ?从事多年的web应用安全领域研究。擅长漏洞发掘、代码 审计。 WAF 现状 WAF 处理协议方式 WAF 绕过方法 Web应用防火墙(WAF ?Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品, 目 前技 相当成熟 前技术已经相当成熟 。 WAF的安全现状 ?WAF是保护WEB应用安全的设备,但缺乏足够的安全测 试,目前存在大量手段可完全绕过WAF的防护策略,对保 护站点进行攻击 针对 f的绕过手段可以通过不完善的策略进行绕过 但 ?针对waf的绕过手段可以通过不完善的策略进行绕过,但 风险更大的是利用解析错误彻底绕过保护 ?国内外无论是硬件WAF还是云WAF至少90%以上存在彻 底绕过的风险 WAF 现状 WAF 处理协议方式 WAF 绕过方法 应用防火墙常见构架 ?IPS模式 ? 七层协议都通过程序解析,程序为实现会话保持,通 常协议解码较弱 ?代理模式 ?利用或修改现有的web中间件实现代理,并在中间件上增加 防护模块实现防护。总体性能不如IPS模式 WAF的挑战 ?WAF在web应用前可做为一个虚拟补丁,保护各种中间 件的安全。不同中间件对协议解析有一些微小的区别。 WAF需要在所有这些差别下防护所有被保护的站点 测试 基 础 HTTP协议——请求报文 GET请求数据包样例 GET /memberphp?username=aaapassword=bbbbHTTP/11\r\n GET /member.php?usernameaaapasswordbbbb HTTP/1.1\r\n Accept: */*\r\n Accept-Language: zh-cn\r\n User-Agent: Mozilla/4.0\r\n Accept-Encoding: gzip, deflate\r\n Host: xxx.xxx.xxx\r\n Pragma: no-cache\r\n \r\n POST数据包样例 POST /memberphp HTTP/11\r\n POST /member.php HTTP/1.1\r\n Accept: */*\r\n Accept-Language: zh-cn\r\n User-Agent: Mozilla/4.0\r\n Content-Type: application/x-www-form-urlencode\r\n Accept-Encoding: gzip, deflate\r\n p g g p, Host: xxx.xxx.xxx\r\n Content-Length: 118\r\n Pragma:no cache\r\n Pragma: no-cache\r\n \r\n username=fsdfpassword=sdfloginsubmit=truereturn_type= 产生绕过的问题的根源 W f对数据包的解析和中间件的解析存在区别 导致可能绕 ?Waf对数据包的解析和中间件的解析存在区别,导致可能绕 过waf 测试方法 ?使用协议级fuzzing发包进行测试,判断返回代码,通常被 waf拦截后返回非200的响应码 WAF 现状 WAF 绕过方法 WAF 绕过方法 通过策略缺陷绕过waf防护 通过策略缺陷绕过 防护 ?部分绕过waf ? 本次议题不详细讨论这部分 应用防火墙构架导致问题 ?IPS模式 ? 分片问题 C t t L th 导致设备 b ? 巨大的 Content-Length ,导致设备 bypass ? 解码较弱 ?代理模式 ? 使用高并发流量,导致设备切换 bypass 解析方法差异 ?通过编码绕过 ?使用截断字符 ?重复变量 ?参数解析的异常 ?针对域名的保护 ?对Content-type的不同理解 ?超大数据包 ?变换变量位置 ?Post不同解析方式 ?异常数据包 ?Ajax异步操作 利用编码绕过 POST /memberphp HTTP/11 POST /member.php HTTP/1.1 Accept: */* Accept-Language: zh-cn User-Agent: Mozilla/4.0 Content-Type: application/x-www-form-urlencode Accept-Encoding: gzip, deflate p g g p, Host