Web应用防火墙绕过技术

1、    web应用防火墙绕过技术    王亚丽摘要web安全一直是网络安全防护领域最为关注的问题，waf（web应用防火墙，web application firewall）作为保障web服务器安全一道重要防线，自产生起，其应用越来越广泛，国内外对其研究也越来越多。本文对web应用防火墙的基本原理和工作流程，以及绕过web应用防火墙的攻击方法进行了列举和原理分析，最后总结了waf绕过的方法与技术。【关键词】waf绕过技术 防火墙 过滤规则1waf基本原理和工作流程web应用防火墙通过在应用层对请求服务器的内容进行规则匹配、行为分析等识别出恶意行为，并执行

2、相关动作，这些动作包括阻断、记录、告警等。web应用防火墙的基本工作流程为：数据获取数据清洗规则匹配二次检验。其中规则匹配指的是web应用防火墙对数据进行清洗之后，将清洗处理完毕的数据与web应用防火墙中的规则进行匹配，从而对客户端请求的数据流量中的恶意攻击行为进行正确识别，进而对其进行拦截与过滤。通过处理流程可知，web应用防火墙可能存在缺陷的地方在请求到达waf之前（主要针对云waf）、在waf自身处理数据流量环节以及waf处理与服务器端特性导致的处理不一致环节等。2web应用防火墙绕过技巧绕过waf的本质是绕过waf设备（主要指云waf）或者寻找waf设备处理应用层数据存在缺陷的特性。攻

3、击者利用这些存在缺陷的特性构造出waf无法处理或不做处理而对应用程序会产生危害的有效载荷，从而绕过waf防护。绕过web应用防火墙的技巧主要有：（1）请求真实ip绕过waf：主要针对云waf，由于其部署架构的特性，并不是直接串在目标站点线路上，而是通过dns解析的形式部署，此时可以先探测到目标站点的真实ip，然后在hosts文件中绑定好域名的真实ip，直接请求ip以此绕过waf的检测。（2）检测内容范围绕过：waf性能限制，检测特定的内容前几k或几十k的内容，然后在此特定内容段内填充无用数据，payload放于无用数据用，從而达到绕过waf检测的目的。（3）检测规则绕过：利用waf开发人员规则

4、编写经验不足、规则覆盖面不全等问题，来绕过waf检测，例如利用mysql对一些特殊字符处理的特性、语法特性绕过。3web服务器层绕过利用waf和web服务器处理输入不同时来进行绕过，也就是利用web服务器的特性，waf的解析与服务器端环境对于输入的解析存在差异从而可能导致出现waf防护缺陷。3.1iis服务器特性由前面可以看到iis上部署的编程语言一般为asp和aspx，通过合理利用其特性，则可能达到绕过效果。如在asp+iis的环境下特殊字符“%”存在处理特性。当在asp+iis环境下输入“f%rom”的时候，在经过waf时解析处理完毕后的结果可能是，而在到达服务器端asp+iis环境下的时

5、候，解析处理完毕的结果就为“from”，从而绕过了waf对于“from”的拦截。3.2apache服务器3.2.1畸形请求方法在一些版本的apache服务器上进行请求的时候，服务器端对客户端的http请求方法method处理不当，当method非设定的请求方式时会默认设置为get请求。如果waf进行请求处理的时候按照特定的请求方式（比如get、post等）来处理数据，就会因为之前不当的处理请求方式而对waf进行绕过。3.2.2畸形的boundary在php+apache的环境下，php解析multipartdata有其固有的处理特性，对于content-type中的boundary的识别，它只

6、截取了逗号前面的内容。比如客户端设置的boundary为“-698241790，test”，php在进行解析处理的时候只识别“-698241790”，对于后面的内容都没有识别出来。但是在waf进行解析处理的时候获取到的就很可能是整个字符串，从而对waf进行绕过。4缓冲区溢出绕过缓冲区溢出绕过web应用防火墙的方法，主要用于用c语言编写的web应用防火墙，考虑到c语言没有缓冲区保护机制，若是通过客户端向服务器端请求的测试向量超过缓冲区长度时，waf就无法对其进行处理，从而出现bug进而对web应用防火墙成功实现绕过。比如客户端请求url为“http：/ 0xb*50000）union selec

7、t1，2，user（）”时，服务器端接收的数据经过waf时，waf无法对其进行处理，就直接将数据传给了服务器，从而造成sql注入。5结束语针对web应用使用广泛、恶意攻击泛滥的现状，恶意攻击者利用sql注入、xss攻击、命令执行等漏洞来攻击web应用程序，获取网站数据或致使网站瘫痪，更有甚者通过获取网站服务器权限后对内网进行渗透，严重损害了企业、机构网站安全。为了应对各类攻击，本文对web应用防火墙的基本原理和工作流程，以及绕过web应用防火墙的攻击方法进行了列举和原理分析。针对己做的工作，下一阶段将重点放在构建基于回溯分析的web应用防火墙绕过测试框架，从而提高过滤规则收集完整性、优化各类特性组合方式、加强实验验证。参考文献1koved l，luol.interactive management of web application firewall rules：u.s.patent 9，473，457p.2016-10-18.2ji p，luo l，sreedhar vc，et al. hierarchical rule development and binding for web application ser