细说——WAF

目录

WAF是什么主流WAF有哪些？WAF的分类软件型WAF硬件型WAF基于云WAF开源型WAF网站内置的WAF IPS与IDS，防火墙与WAF之间的比较和差异防火墙功能IPS入侵防御系统IDS入侵检测SEO靠我系统WAF对比IPS与IDS防火墙与IPS / IDSWAF与IPS / IDS WAF检测手工检测工具检测WAFwafw00fsqlmapnmap WAF进程与拦截页面D盾云锁阿里云盾腾讯云安全腾讯SEO靠我宙斯盾360主机卫士奇安信网站卫士网站/服务器安全狗护卫神·入侵防护系统网防G01政府网站综合防护系统（“云锁”升级版）UPUPW安全宝塔智创防火墙创宇盾玄武盾西数WTS-WAFNaxsi WAF百度SEO靠我云**华为云**网宿云铱讯WAF安域云WAF长亭SafeLine安恒明御WAF WAF绕过域名转换为ip分块编码(Transfer-Encoding)绕过WAF对抗规则绕过对关键字进行不同编码对关键字SEO靠我进行大小写变换通过其他语义相同的关键字替换配合Windows特性配合linux特性 http协议绕过 更多参考

知识铺垫

WAF是什么

WAF，全称为：Web Application Firewall，即 SEO靠我Web 应用防火墙。对此，维基百科是这么解释的：Web应用程序防火墙过滤，监视和阻止与Web应用程序之间的HTTP流量。WAF与常规防火墙的区别在于，WAF能够过滤特定Web应用程序的内容，而常规防火SEO靠我墙则充当服务器之间的安全门。通过检查HTTP流量，它可以防止源自Web应用程序安全漏洞的攻击，例如SQL注入、跨站点脚本，文件包含和安全性错误配置。WAF具备以下特点：

全面检测WEB代码深入检测HTTSEO靠我P/HTTPS强大的特征库网络层的防篡改机制

更多细节参见Web 防火墙（WAF）是什么？和传统防火墙区别是什么？

一言蔽之，WAF就是部署在网站上的一个东东，之所以说它“东东”，是因为这玩意分好几种类型SEO靠我。

主流WAF有哪些？

WAF的分类

WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的；而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量SEO靠我的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、扫操作绕SEO靠我过的能力越来越强。当然，在部署维护成本方面，也是越高的。

软件型WAF

以软件的形式安装在服务器上，可以直接检测服务器是否存在webshell，是否有文件被创建等

D盾，云锁，网防G01，安全狗，护卫神，智SEO靠我创，悬镜，UPUPW，安骑士

硬件型WAF

以硬件的形式部署在链路中，支持多种部署方式，当串联到链路中时可以拦截恶意流量，在旁路监听时只记录攻击，不拦截

绿盟、安恒、铱迅、天融信、深信服、启明星辰、知道创宇SEO靠我、F5 BIG-IP

基于云WAF

一般以反向代理的形式工作，通过配置NS或CNAME记录，使得对网站的请求报文优先经过WAF主机，经过WAF主机过滤后，将被认为无害的请求报文再发送给实际网站服务器进行请SEO靠我求，可以认为是自带防护功能的CDN

安全宝、创宇盾、玄武盾、腾讯云（T-Sec Web 应用防火墙）、百度云（应用防火墙 WAF）、西部数码、阿里云盾、奇安信网站卫士

开源型WAF

Naxsi、OpenRASEO靠我SP、ModSecurity

网站内置的WAF

网站系统内置的WAF直接镶嵌在代码中，相对来说自由度高，网站内置的WAF与业务更加契合

IPS与IDS，防火墙与WAF之间的比较和差异

如果你在学习WAF的时候SEO靠我，常常对WAF、防火墙、IPS等概念感到费解，你可以直接查看我参考的原文（我这里重新排版了）

首先明确一下缩写词汇：IPS(Intrusion Prevention System) =入侵防御系统 SEO靠我 IDS(Intrusion Detection System) =入侵检测系统 WAF(Web Application Firewall) = Web应用程序防火墙

这些设备SEO靠我的拓扑如下

防火墙功能

防火墙有几种类型，但最常见的是硬件网络防火墙。从拓扑图中可以看到，由于网络防火墙是网络安全的基石，因此在所有网络设计中都可以找到网络防火墙。

防火墙的核心功能是允许或阻止源主机/网络SEO靠我与目标主机/网络之间的通信。

基本防火墙在OSI模型的第3层和第4层工作，即它们可以基于源/目标IP地址和源/目标TCP / UDP端口允许或阻止IP数据包。此外，网络防火墙是有状态的。这意味着防火墙会SEO靠我跟踪通过它的连接状态。

例如，如果内部主机通过防火墙成功访问了Internet网站，则后者会将连接保留在其连接表内，从而允许来自外部Web服务器的答复数据包传递到内部主机，因为它们已经属于已建立的防火墙SEO靠我。连接。

如今，下一代防火墙一直运行到OSI模型的第7层，这意味着它们能够在应用程序级别检查和控制流量。

IPS入侵防御系统

顾名思义，入侵防御系统（IPS）是一种安全设备，其主要任务是防止网络入侵。

这就是SEO靠我为什么IPS与数据包流串联连接的原因。从上面的网络拓扑（带IPS的防火墙）可以看出，IPS设备通常连接在防火墙后面，但是位于通信路径的串联位置，该通信路径向内部网络/从内部网络传输数据包。

为了使IPSSEO靠我设备在到达内部服务器之前立即阻止恶意流量，需要上述放置。

通常，IPS是基于签名的，这意味着它具有已知恶意流量，攻击和利用的数据库，如果它看到匹配签名的数据包，则它将阻止流量。

此外，IPS可以处理统计异SEO靠我常检测，管理员设置的规则等。

IDS入侵检测系统

IDS（入侵检测系统）是IPS的前身，本质上是被动的。如上图所示（带IDS的防火墙），该设备未与流量串联插入，而是并行（带外放置）。

通过交换机的流量也同时SEO靠我发送到IDS进行检查。如果在网络流量中检测到安全异常，则IDS只会向管理员发出警报，但无法阻止流量。

与IPS相似，IDS设备还主要使用已知安全攻击和漏洞利用的特征来检测入侵企图。

为了将流量发送到IDSSEO靠我，交换设备必须配置一个SPAN端口，以便复制流量并将其发送到IDS节点。

尽管IDS在网络中是被动的（即它不能主动阻止流量），但是有些模型可以与防火墙配合使用以阻止安全攻击。

例如，如果IDS检测到攻击，SEO靠我则IDS可以向防火墙发送命令以阻止特定的数据包。

WAF

WAF（Web应用程序防火墙）专注于保护网站（或通常的Web应用程序）。

它在应用程序层工作以检查HTTP Web流量，以检测针对网站的恶意攻击。

例SEO靠我如，WAF将检测SQL注入攻击，跨站点脚本，Javascript攻击，RFI / LFI攻击等。

由于当今大多数网站都使用SSL（HTTP），因此WAF还可以通过终止SSL会话并在WAF本身上检查连接内SEO靠我部的流量来提供SSL加速和SSL检查。

如上图所示（带有WAF的防火墙），它被放置在网站的前面（通常）在防火墙的DMZ区域中。

有了WAF，管理员可以灵活地限制对网站特定部分的Web访问，提供强身份验证，SEO靠我检查或限制文件上传到网站等。

对比

IPS与IDS

入侵防御系统入侵检测系统网络布局串联（串联）与网络流量与流量并行（带外）操作模式活动设备。可以主动阻止攻击流量。被动装置。无法阻止攻击流量，只能检测。检测SEO靠我机制基于签名，基于规则，统计异常检测等基于签名，基于规则，统计异常检测等封锁选项在网络级别阻止数据包，重置连接，提醒管理员等提醒管理员，发送重置连接请求。硬件功能必须具有高性能才能执行深度数据包检查，SEO靠我并且不能减慢流量。不需要非常高性能，因为它不会干预流量。但是，为了实时掌握流量，它必须能够处理线路带宽。

防火墙与IPS / IDS

防火墙功能入侵防御/入侵防御网络布局通常放置在网络的前端以控制流量。防SEO靠我火墙后的线内或带外。主要用例允许或阻止不同网络区域之间的流量。专门检查网络数据包以使其与已知恶意攻击的特征进行匹配。然后，流量被阻止或发出警报。检测机制通常适用于第4层，以允许或阻止IP地址和端口。基SEO靠我于签名，基于规则，统计异常检测等封锁选项在网络级别阻止或允许数据包。检测攻击并直接阻止流量或发送警报。硬件功能通常具有许多物理网络接口，以便将网络划分为不同的安全区域。必须具有高性能才能执行深度数据包SEO靠我检查，并且不能减慢流量。

WAF与IPS / IDS

WAF入侵防御/入侵防御网络布局放置在网站/ Web应用程序的前面防火墙后的线内或带外。主要用例专用于仅检查HTTP Web流量并防止Web特定攻击。SEO靠我专门检查所有网络数据包，以使其与已知恶意攻击的特征进行匹配。然后，流量被阻止或发出警报。防范这些安全攻击（示例）SQL注入，跨站点脚本，GET / POST攻击，会话操纵攻击，javascript，LSEO靠我FI / RFI等针对Web服务器，SMTP，RDP，DNS，Windows OS，Linux OS等服务的利用。

WAF检测

检测WAF的方法较多，可以通过NMAP、wafw00f、检查响应标头，检查响SEO靠我应正文等方式

手工检测

譬如，我这里直接来个XSS

这个时候你可以直接看到被WAF拦截了，WAF是华为云。你也可以通过响应头看到WAF

工具检测WAF

wafw00f

检测WAF的方法

wafw00f是一个Web应SEO靠我用防火墙（WAF）指纹识别的工具。

下载地址：https://github.com/EnableSecurity/wafw00f

wafw00f的工作原理：发送正常的HTTP请求，然后分析响应，这可以识别SEO靠我出很多WAF。如果不成功，它会发送一些（可能是恶意的）HTTP请求，使用简单的逻辑推断是哪一个WAF。如果这也不成功，它会分析之前返回的响应，使用其它简单的算法猜测是否有某个WAF或者安全解决方案响应SEO靠我了我们的攻击。

kali上内置了该工具：

wafw00f支持非常多的WAF识别。要查看它能够检测到哪些WAF，请使用-l 选项。

简单使用如下：wafw00f https://www.xxx.com/

sqlSEO靠我map

如果网站存在WAF，sqlmap会有提示。

sqlmap --batch --identify-waf --random-agent -u "http://www.test.com"

nmap

nmaSEO靠我p检测waf

nmap -p 80 443 --script http-waf-detect <目标>

nmap识别waf指纹

nmap -p 80 443 --script http-waf-fingerSEO靠我print <目标>

WAF进程与拦截页面

此处大量引用了网络上的图片

D盾

服务名：d_safe 进程名：D_Safe_Manage.exe、d_manage.exe

云锁

服务端监听端口：55SEO靠我55 服务名：YunSuoAgent/JtAgent（云锁Windows平台代理服务）、YunSuoDaemon/JtDaemon（云锁Windows平台守护服务） 进SEO靠我程名：yunsuo_agent_service.exe、yunsuo_agent_daemon.exe、PC.exe

阿里云盾

服务名：Alibaba Security Aegis Detect ServSEO靠我ice、Alibaba Security Aegis Update Service、AliyunService 进程名：AliYunDun.exe、AliYunDunUpdate.exSEO靠我e、aliyun_assist_service.exe

腾讯云安全

进程名：BaradAgent.exe、sgagent.exe、YDService.exe、YDLive.exe、YDEdr.exe

腾讯宙SEO靠我斯盾

360主机卫士

服务名：QHWafUpdata 进程名：360WebSafe.exe、QHSrv.exe、QHWebshellGuard.exe

奇安信网站卫士

网站/服务器安全狗

服务名SEO靠我：SafeDogCloudHelper、Safedog Update Center、SafeDogGuardCenter（服务器安全狗守护中心） 进程名：SafeDogSiteApacSEO靠我he.exe、SafeDogSiteIIS.exe、SafeDogTray.exe、SafeDogServerUI.exe、SafeDogGuardCenter.exe、CloudHelper.exeSEO靠我、SafeDogUpdateCenter.exe

护卫神·入侵防护系统

服务名：hws、hwsd、HwsHostEx/HwsHostWebEx（护卫神主机大师服务） 进程名：hws.exeSEO靠我、hwsd.exe、hws_ui.exe、HwsPanel.exe、HwsHostPanel.exe/HwsHostMaster.exe（护卫神主机大师）

网防G01政府网站综合防护系统（“云锁”升级版SEO靠我）

服务端监听端口：5555 服务名：YunSuoAgent、YunSuoDaemon（不知是否忘了替换了！） 进程名：gov_defence_service.exe、gSEO靠我ov_defence_daemon.exe

UPUPW安全

宝塔

智创防火墙

创宇盾

玄武盾

西数WTS-WAF

Naxsi WAF

百度云

华为云

**

网宿云

铱讯WAF

安域云WAF

长亭SafeLine

安恒明御WAF

WASEO靠我F绕过

网站存在WAF，意味着我们不能使用安全工具对网站进行测试，因为一旦触碰了WAF的规则，轻则丢弃报文，重则拉黑IP。所以，我们需要手动进行WAF的绕过。

WAF的工作原理放到这里说一下，WAF的主要SEO靠我难点是对入侵的检测能力，尤其是对Web服务入侵的检测，WAF最大的挑战是识别率。对于已知的攻击方式，可以谈识别率，但是对于未知的攻击手段，WAF是检测不到的。目前市面上大多数的WAF都是基于规则的WASEO靠我F。即WAF对接数据收到的包进行正则匹配过滤，如果正则匹配到与现有漏洞知识库的攻击代码相同，则认为这个恶意代码，从而对于进行阻断。所以，对于基于规则匹配的WAF，需要每天都及时更新最新的漏洞库。对于这SEO靠我种WAF，它的工作过程是这样的：**解析HTTP请求——>匹配规则——>防御动作——>记录日志 **

具体实现如下：解析http请求：协议解析模块匹配规则：规则检测模块，匹配规则库防御动作：returnSEO靠我 403 或者跳转到自定义界面，或者不返回任何数据，或者拉黑IP日志记录：记录到elk中

从WAF工作的过程我们可以看到，要想绕过WAF，我们只有在 WAF解析HTTP请求 或 WAF匹配规则 两个地方SEO靠我进行绕过。因为第三、四步是WAF匹配到攻击之后的操作，这时候WAF已经检测到攻击了。

【绕WAF这个事，可以说，方式的很灵活的，写起来很杂，以后再积累更新】

​

域名转换为ip

有些WAF设置的是针对域名的防SEO靠我护，在有些时候，我们可以尝试将域名改成ip地址有可以绕过WAF的防护。

（小声bb，其实这很鸡肋，一般来说，规则是不会匹配host是域名还是ip，除非是为了避免误报才可能匹配host）

分块编码(TranSEO靠我sfer-Encoding)绕过WAF

这种绕过方法利用的是WAF在解析HTTP协议的过程，既然WAF连我们的攻击代码都没有解析完全，那么第二步的正则匹配也就匹配不到我们的攻击代码了，自然就可以绕过了。SEO靠我

相关文章：

在HTTP协议层面绕过WAF

利用分块传输吊打所有WAF

[技术]编写Burp分块传输插件绕WAF

HTTP 协议中的 Transfer-Encoding

对抗规则绕过

对关键字进行不同编码

selecSEO靠我t * from zzz = select * from %257a%257a%257a //url编码 单引号 = %u0027、%u02b9、%u02bc // Unicode编码SEO靠我 adminuser = 0x61646D696E75736572 // 部分十六进制编码 空格 = %20 %09 %0a %0b %0c %0d %a0 //各类编SEO靠我码

这种方式实用价值一般，譬如检测xss的时候，我会加一条逻辑与来匹配编码

pcre:"/(txtName|mtxMessage)[\s=]+?.+?(%3C|\x3c|<).+?(%3E|\x3E|>)SEO靠我/iP"

对关键字进行大小写变换

Union select = uNIoN sELecT

这种方式实用价值很低，我们写正则的时候，一般都会设置正则的标志位为i，即，不区分大小写

通过其他语义相同的关键字替换

除SEO靠我了通过编码等价替换等方式绕过检测，我们还能配合目标特性实现绕过检测

And = && Or = || 等于 = like 或综合<与>判断 if(a,b,SEO靠我c) = case when(A) then B else C end substr(str,1,1) = substr (str) from 1 for 1 limiSEO靠我t 1,1 = limit 1 offset 1 Union select 1,2 = union select * from ((select 1)A join (select 2)SEO靠我B; hex()、bin() = ascii() sleep() = benchmark() concat_ws() = group_concat() SEO靠我 mid()、substr() = substring() @@user = user() @@datadir = datadir()

配合Windows特SEO靠我性

注意，是在cmd下执行，在powershell中是不行的

ipconfig <=> ((((ipc^o^nf""ig)))) //利用符号分割字符执行ipconfig ipconfSEO靠我ig <=> set a=123ipconfig456&& %a:~3,8% 利用变量分割关键字执行ipconfig

解释：

set a=123ipconfig456 //设置了一个变量a

echo %a:SEO靠我~3,8% //取出变量a的第3位开始共计8个字符（加了个echo是为了看看取的内容）

%a:~3,8% //执行取出的值

把上面内容合体就是set a=123ipconfig456&& %a:~3,8%SEO靠我

配合linux特性

whoami <=> whoam"i" //单引号或双引号连接符，需要闭合 Cat /etc/passwd <=> cat /?t*/??ss** //?,*通配SEO靠我符 whoami <=> /b[12312i]n/w[23sh]oa[2msh]i //[] 通配符，匹配【】中的字符

上面的这个说白了就是利用了linux能够识别正则。

Whoami <SEO靠我=> a=who&&b=ami&&$a$b //当然linux下也可以变量拼接 cat /../../etc/passwd =cd ..&&cd ..&&cd etc&&cat pSEO靠我asswd //目录穿越

http协议绕过

Content-Type绕过有的waf 识别到Content-Type类型为multipart/form-data后，会将它认为是文件上传请求，从而不检测其他种SEO靠我类攻击只检测文件上传，导致被绕过。

application/x-www-form-urlencoded è multipart/form-data

HTTP请求方式绕过

waf在对危险字符进行检测的时候，分SEO靠我别为post请求和get请求设定了不同的匹配规则，请求被拦截，变换请求方式有几率能绕过检测

Ps:云锁/安全狗安装后默认状态对post请求检测力度较小，可通过变换请求方式绕过

参数污染绕过由于http协议SEO靠我允许同名参数的存在，同时waf的处理机制对同名参数的处理方式不同，造成“参数污染”。不同的服务器搭配会对传递的参数解析出不同的值。配合waf与中间件对参数解析位置不同，可能绕过waf。提交的参数为：?SEO靠我id=1&id=2&id=exp asp.net+iis:id=1,2,exp asp+iis:id=1,2,exp php+apache:id=expSEO靠我

解析特性绕过

原理：利用waf与后端服务器的解析不一致。

Iis5.0-6.0解析漏洞.asp --> /xx.asp/xx.jpg //.asp，.asa目录下的文件都解析成asp文件 SEO靠我.asp --> xx.asp;.jpg //服务器默认不解析;号后面的内容

Iis7.5解析漏洞(php.ini开启fix_pathinfo)

.php --> /xx.jpg //上传.jpg一句话，SEO靠我访问时后面加上/xx.php

apache解析漏洞

.php --> /test.php.php123 //从右往左，能别的后缀开始解析

nginx解析漏洞(php.ini开启fix_pathinfo)

.pSEO靠我hp --> xxx.jpg%00.php //Nginx <8.03 空字节代码执行漏洞

解析兼容性绕过

在http协议中，标准的文件名的形式为filename=”1.php”,但是web容器会在解析协SEO靠我议时做一些兼容，文件上传时，有的waf只按照标准协议去解析，解析不到文件名，从而被绕过。

keep-alive（Pipeline）绕过原理:http请求头部中有Connection这个字段，建立的tcpSEO靠我连接会根据此字段的值来判断是否断开，我们可以手动将此值置为keep-alive，然后在http请求报文中构造多个请求，将恶意代码隐藏在第n个请求中，从而绕过。

更多

先知白帽大会有一期的内容是关于WAF，SEO靠我内容生动有趣，可以看

没有绝对的waf防御.pdf

参考

Web渗透测试：信息收集篇

Web 防火墙（WAF）是什么？和传统防火墙区别是什么？

IPS与IDS，防火墙与WAF之间的比较和差异

WAF、流控设备、堡SEO靠我垒机

看图识WAF-搜集常见WAF拦截页面

常见WAF拦截页面

常见WAF进程/服务与WAF识别总结

实战技巧 | WAF绕过入狱指南

WAF的工作原理和绕过浅析

绕过网站WAF(图片绕过)

waf绕过拍了拍你