渗透测试-WAF是什么以及原理解释 waf功能详解

浩浩测试一下2025-01-28 15:18

目录

waf功能介绍

waf出现的地点:

什么是waf

功能:

常见的系统攻击分为两类

一是利用Web服务器的漏洞进行攻击

二是利用网页自身的安全漏洞进行攻击

WAF主要功能:

waf的特点1

waf主要功能2

网马木马主动防御及查杀

流量监控

网站漏洞防御功能

危险组件防护功能

Net安全保护模块

双层防盗链链接模式​​​​​​​

网站特定资源防下载  ​​​​​​​

CC攻击防护

网站流量保护

IP黑白名单

Waf防护的原理

常规原理

云wifi绕过原理

流程:

[过防火墙【黑白名单】 身份认证](#过防火墙【黑白名单】 身份认证)

数据包解析

规则判断

绕过手法

waf功能介绍

waf出现的地点:

  • 攻击打点的时候都会出现waf

什么是waf

  • 网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体:

    • 服务器工具

功能:

  • 涵盖了网马/木马扫描

  • 防SQL注入

  • 防盗链

  • 防CC攻击

  • 网站流量实时监控

  • 网站CPU监控

  • 下载线程保护

  • IP黑白名单管理

  • 网页防篡改功能等模块

  • 能够为用户提供实时的网站安全防护,避免各类针对网站的攻击所带来的危害网站WAF是一款服务器安全防护软件

    • 是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统

    • 是集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具

常见的系统攻击分为两类

一是利用Web服务器的漏洞进行攻击

  • 如DDOS攻击、病毒木马破坏等攻击

二是利用网页自身的安全漏洞进行攻击

  • 如SQL注入攻击、跨站脚本攻击等

  • 常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。

WAF主要功能:

  • 安全狗 依赖apatch 2.4.39的一个环境

  • httpd.exe -k install -n apache2.4.39

waf的特点1

Waf 防火墙牛逼在规则库上

  • 在做网站防护的过程中

  • 规则库比较差的时候防护就比较差

  • 没有成功拦截的马都是好马

  • 所以,高手过waf有各种写法,比较容易的

  • 所以发生了入侵之后,我们要分析它是怎么做到免杀的,然后完善我们的网站程序。

  • 有防护我们也要进行渗透

  • 看他的waf强不强(规则库)

  • 在进行后台渗透 反盗链的渗透测试

waf主要功能2

网马木马主动防御及查杀​​​​​​​

  • 网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法

  • WEB木马检出率大于90%

  • 也就是能够干掉目前市场上的90%的木马

  • 不过做了免杀的还是干不掉的

流量监控​​​​​​​

  • 能够实时监测到每个网站的进出流量和总流量,

  • 及每个应用程序池及网站的CPU占用情况

网站漏洞防御功能​​​​​​​

  • 可拦截GET、POST、COOKIES等方式的SQL注入

  • 可对GET、POST、COOKIES分别定义特征码,以及可拦截XSS注入等行为。

危险组件防护功能​​​​​​​

  • 全面拦截恶意代码对组件的调用权限

  • 拦截IIS执行恶意程序

  • 保护网站安全

Net安全保护模块

  • 快捷设置.Net安全模式,禁止.Net执行系统敏感函数,保障网站安全

双层防盗链链接模式​​​​​​​

  • 可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人引用

  • 如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面

网站特定资源防下载  ​​​​​​​

  • 支持对doc、mdb、mdf、myd等特定资源的防下载保护

  • 加入要保护的敏感资料的路径,即可防止敏感资料被下载

CC攻击防护

  • 自主研发的独特抗攻击算法,高效的主动防御系统可有效防御CC攻击、流量攻击

网站流量保护

  • 支持下载流量控制、下载线程控制。采用独创的线程控制和流量控制技术, 大大提高服务器性能, 保护网站流量。

IP黑白名单

  • 全IP黑白名单功能允许用户设置个性化的IP信任列表,直接屏蔽或者允许指定IP访问网站。

  • 同时,增加iP临时黑名单功能,以及实现了针对某个功能的iP白名单功能。

  • 同时,爬虫白名单提供爬虫信任机制,在出现误拦截情况下,允许用户自定义爬虫信任 。

Waf防护的原理

常规原理

  • 如果在白名单,放行,

  • 如果不在,那么查看是否在黑名单,如果在黑名单,那么拦截

    • 如果也不在黑名单,那么进行数据包解析

    • 如果解析之后和我们规则库里面保存的一些攻击规则匹配,比如含有or、and等

    • 我觉得你是攻击请求,那么拦截,如果规则库没有匹配到,那么放行

      • 所以绕过的最直接方式就是将攻击代码编码一下或者通过其他手段处理一下

      • 让规则库不能检查出来即可

    • 软硬件waf的防御方式大致都是这样的

云wifi绕过原理

  • 还有个云waf
  • 其实也是差不多的
  • 但是云waf有个特点就是
  • 如果你直接访问的是真实ip地址
  • 那么云waf是不做防护的,直接绕过。
  • 下面主要针对上面的三个阶段进行绕过策略讲解:

流程:

  • 请求发送过来网站

过防火墙【黑白名单】 身份认证

  • 黑白名单检测
  • 黑名单不运行请求
  • 白名单就放行 不在黑名单就会放行 丢到服务器运行

数据包解析

  • Waf解析不到数据包 丢到服务器
  • Waf解析到数据包 判断规则
  • 解析数据包 进行阻挡

规则判断

  • Waf解析不到数据包丢到服务器

绕过手法

  1. 伪造白名单 绕过waf,直接丢给服务器。

  2. 数据包解析不了里面的攻击代码 直接丢给服务器。

  3. 写的攻击代码加工处理 不会触发waf的规则 不拦截丢给服务器。

  4. 攻击代码在waf上是没用的。所以要达到服务器才能实现功能。

喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。

相关推荐
垚垚 Securify 前沿站7 小时前
全面解析文件上传下载删除漏洞:风险与应对
网络·计算机网络·安全·web安全·系统安全
WTT001120 小时前
第一届“启航杯”网络安全挑战赛WP
服务器·前端·网络·windows·安全·web安全
ai产品老杨20 小时前
能够对设备的历史数据进行学习与分析,通过与设备当前状态的比对,识别潜在故障并做出预判的名厨亮灶开源了。
vue.js·人工智能·学习·安全·开源·音视频
iSee8571 天前
WordPress Web Directory Free插件本地包含漏洞复现(附脚本)(CVE-2024-3673)
安全·web安全
A5rZ1 天前
CTF-web: Python YAML反序列化利用
网络安全
doubt。1 天前
[b01lers2020]Life on Mars1
网络·数据库·sql·安全·web安全·网络安全
仇辉攻防1 天前
【云安全】云原生-K8S-搭建/安装/部署
web安全·网络安全·docker·云原生·容器·kubernetes·k8s
A5rZ1 天前
CTF-web: phar反序列化+数据库伪造 [DASCTF2024最后一战 strange_php]
网络安全
不一样的信息安全1 天前
Nginx配置中的常见错误:SSL参数解析
网络·nginx·安全
Clockwiseee1 天前
玄机靶场--第一章 应急响应-webshell查杀
学习·安全·web安全·靶场·应急响应·webshell查杀
热门推荐
01SQL从入门到实战-202centos7 init.d 和system.d03Dell服务器升级ubuntu 22.04失败解决04flask-admin 在modelview 默认视图下重写create_model_actions来实现列表数据的批量处理actions05xgboost: Why not implement distributed XGBoost on top of spark06半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)07MIT S081 Lab 2 System Calls08密码学原理技术-第六章-introduction to pulibc-key cryptography09(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明10小米路由器简单救砖