下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 web应用防火墙绕过技术 王亚丽摘要web安全一直是网络安全防护领域最为关注的问题,waf(web应用防火墙,web application firewall)作为保障web服务器安全一道重要防线,自产生起,其应用越来越广泛,国内外对其研究也越来越多。本文对web应用防火墙的基本原理和工作流程,以及绕过web应用防火墙的攻击方法进行了列举和原理分析,最后总结了waf绕过的方法与技术。【关键词】waf绕过技术 防火墙 过滤规则1waf基本原理和工作流程web应用防火墙通过在应用层对请求服务器的内容进行规则匹配、行为分析等识别出恶意行为,并执行
2、相关动作,这些动作包括阻断、记录、告警等。web应用防火墙的基本工作流程为:数据获取数据清洗规则匹配二次检验。其中规则匹配指的是web应用防火墙对数据进行清洗之后,将清洗处理完毕的数据与web应用防火墙中的规则进行匹配,从而对客户端请求的数据流量中的恶意攻击行为进行正确识别,进而对其进行拦截与过滤。通过处理流程可知,web应用防火墙可能存在缺陷的地方在请求到达waf之前(主要针对云waf)、在waf自身处理数据流量环节以及waf处理与服务器端特性导致的处理不一致环节等。2web应用防火墙绕过技巧绕过waf的本质是绕过waf设备(主要指云waf)或者寻找waf设备处理应用层数据存在缺陷的特性。攻
3、击者利用这些存在缺陷的特性构造出waf无法处理或不做处理而对应用程序会产生危害的有效载荷,从而绕过waf防护。绕过web应用防火墙的技巧主要有:(1)请求真实ip绕过waf:主要针对云waf,由于其部署架构的特性,并不是直接串在目标站点线路上,而是通过dns解析的形式部署,此时可以先探测到目标站点的真实ip,然后在hosts文件中绑定好域名的真实ip,直接请求ip以此绕过waf的检测。(2)检测内容范围绕过:waf性能限制,检测特定的内容前几k或几十k的内容,然后在此特定内容段内填充无用数据,payload放于无用数据用,從而达到绕过waf检测的目的。(3)检测规则绕过:利用waf开发人员规则
4、编写经验不足、规则覆盖面不全等问题,来绕过waf检测,例如利用mysql对一些特殊字符处理的特性、语法特性绕过。3web服务器层绕过利用waf和web服务器处理输入不同时来进行绕过,也就是利用web服务器的特性,waf的解析与服务器端环境对于输入的解析存在差异从而可能导致出现waf防护缺陷。3.1iis服务器特性由前面可以看到iis上部署的编程语言一般为asp和aspx,通过合理利用其特性,则可能达到绕过效果。如在asp+iis的环境下特殊字符“%”存在处理特性。当在asp+iis环境下输入“f%rom”的时候,在经过waf时解析处理完毕后的结果可能是,而在到达服务器端asp+iis环境下的时
5、候,解析处理完毕的结果就为“from”,从而绕过了waf对于“from”的拦截。3.2apache服务器3.2.1畸形请求方法在一些版本的apache服务器上进行请求的时候,服务器端对客户端的http请求方法method处理不当,当method非设定的请求方式时会默认设置为get请求。如果waf进行请求处理的时候按照特定的请求方式(比如get、post等)来处理数据,就会因为之前不当的处理请求方式而对waf进行绕过。3.2.2畸形的boundary在php+apache的环境下,php解析multipartdata有其固有的处理特性,对于content-type中的boundary的识别,它只
6、截取了逗号前面的内容。比如客户端设置的boundary为“-698241790,test”,php在进行解析处理的时候只识别“-698241790”,对于后面的内容都没有识别出来。但是在waf进行解析处理的时候获取到的就很可能是整个字符串,从而对waf进行绕过。4缓冲区溢出绕过缓冲区溢出绕过web应用防火墙的方法,主要用于用c语言编写的web应用防火墙,考虑到c语言没有缓冲区保护机制,若是通过客户端向服务器端请求的测试向量超过缓冲区长度时,waf就无法对其进行处理,从而出现bug进而对web应用防火墙成功实现绕过。比如客户端请求url为“http:/ 0xb*50000)union selec
7、t1,2,user()”时,服务器端接收的数据经过waf时,waf无法对其进行处理,就直接将数据传给了服务器,从而造成sql注入。5结束语针对web应用使用广泛、恶意攻击泛滥的现状,恶意攻击者利用sql注入、xss攻击、命令执行等漏洞来攻击web应用程序,获取网站数据或致使网站瘫痪,更有甚者通过获取网站服务器权限后对内网进行渗透,严重损害了企业、机构网站安全。为了应对各类攻击,本文对web应用防火墙的基本原理和工作流程,以及绕过web应用防火墙的攻击方法进行了列举和原理分析。针对己做的工作,下一阶段将重点放在构建基于回溯分析的web应用防火墙绕过测试框架,从而提高过滤规则收集完整性、优化各类特性组合方式、加强实验验证。参考文献1koved l,luol.interactive management of web application firewall rules:u.s.patent 9,473,457p.2016-10-18.2ji p,luo l,sreedhar vc,et al. hierarchical rule development and binding for web application ser
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 流水施工法在建筑中的应用技术方案
- 景观植物选型方案
- 2025年宜宾人才有限公司招聘笔试历年参考题库附带答案详解
- 2025年安徽大别山产业投资发展集团有限公司公开招聘人员笔试历年参考题库附带答案详解
- 2025年国家电投山东总公司(山东院)公开招聘笔试历年参考题库附带答案详解
- 2025年吉林省能源投资集团有限责任公司公开招聘笔试历年参考题库附带答案详解
- 2025年华远国际陆港集团有限公司所属企业校园招聘笔试历年参考题库附带答案详解
- 2025年云南红河红发新基建投资运营有限公司第一批次社会公开招聘7人笔试历年参考题库附带答案详解
- 2025年中国能源建设集团辽宁电力勘测设计院有限公司社会招聘4人笔试历年参考题库附带答案详解
- 2025年“才聚齐鲁成就未来”山东健康集团管培生招聘15名笔试历年参考题库附带答案详解
- 2025年教师招聘考试结构化面试题库及答案(超强)
- 小飞象母婴店知识培训课件
- 甘肃学考历史试卷及答案
- GB/T 5563-2025橡胶和塑料软管及软管组合件静液压试验方法
- 知识产权企业高级管理人员聘用合同范本
- 装修银行施工方案
- 2025年科研处面试问题集及答案
- 2025年湖北省工程技术职务水平能力测试(土地管理)历年参考题库含答案详解(5卷)
- 《无人机飞行安全及法律法规》第3版全套教学课件
- 2024-2025学年湖北省武汉市新洲阳逻街下学期七年级数学期末检测试卷
- 公路中心采购管理办法
评论
0/150
提交评论