waf

也是之前讲课写的，现在搬运过来 --- WAF所处的位置 * 云WAF * 硬件WAF * 软件WAF * 代码级WAF WAF的绕过 1 架构层 mysql默认的字符集是latin,因此在php代码里面设置的字符集为 utf-8,这只是客户端的字符集，因此存在字符集装换的问题utf-8―>latin,若传进来的字符集不是完整的字符，则会导致不完整的字符自动会忽略的问题，比如username=admin%c2 , 由于%c2不是一个完整的utf-8字符 因此传到Mysql 里面 自动忽略了，导致查出的是admin用户的数据，可以利用这个特性绕过。 2 资源限制角度 3 协议层 filename=”test.asp”位于Content-Type: application/octet-stream 下一行时 4 规则缺陷 # -- -- - ;%00 /*!111or*/1=1-- - //-->

举例：下面这个WAF，/*%!/*/可以绕过空格 来源: https://www.cnblogs.com/blogs-1024/p/11324735.html

scollazo/naxsi-waf-with-ui Dockerfile - Docker Hub https://hub.docker.com/r/scollazo/naxsi-waf-with-ui/dockerfile 来源： https://www.cnblogs.com/rgqancy/p/11733472.html

1.大小写绕过 这个大家都很熟悉，对于一些太垃圾的WAF效果显著，比如拦截了union，那就使用Union UnIoN等等绕过。 2.简单编码绕过 比如WAF检测关键字，那么我们让他检测不到就可以了。比如检测union，那么我们就用%55也就是U的16进制编码来代替U，union写成 %55nION，结合大小写也可以绕过一些WAF，你可以随意替换一个或几个都可以。 也还有大家在Mysql注入中比如表名或是load文件的时候，会把文件名或是表明用16进制编码来绕过WAF都是属于这类。 3.注释绕过 这种情况比较少，适用于WAF只是过滤了一次危险的语句，而没有阻断我们的整个查询。 01./?id=1+union+select+1,2,3/* 比如对于上面这条查询，WAF过滤了一次union和select，那么我们在之前在写一个注释的语句，让他把注释里面的过滤掉，并不影响我们的查询。 所以绕过语句就是： 01./?id=1/*union*/union/*select*/select+1,2,3/* 还有一种和注释有关的绕过： 比如： 01.index.php?page_id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3,4… 可以看到，只要我们把敏感词放到注释里面，注意，前面要加一个！ 4.分隔重写绕过 还是上面的例子，适用于那种WAF采用了正则表达式的情况

WAF的主要特点有： 针对HTTP和HTTPS的请求进行异常检测，阻断不符合请求的访问，并且严格的限制HTTP协议中没有完全限制的规则。以此来减少被攻击的范围。 建立安全规则库，严格的控制输入验证，以安全规则来判断应用数据是否异常，如有异常直接阻断。以此来有效的防止网页篡改的可能性。 运用WAF技术判断用户是否是第一次请求访问的，同时将请求重定向到默认的登陆页面并且记录该事件。以此来检测识别用户的操作是否存在异常，并且对达到阙值，触发规则的访问进行处理。 WAF防御机制也可以用来隐藏表单域保护，响应监控信息泄露或者被攻击时的提示，也可以规避入侵，爬虫等技术。 WAF机制对于WEB应用防火墙提供了安全保障，小编认为WAF机制对各类网站站点进行了有效的防护，因此对于DDOS防护以及CC防护，WAF指纹识别架构起到了重要作用。 来源： https://blog.csdn.net/elva428204358/article/details/100978541

　　 　　现如今传统防火墙已无法满足企业安全需求，网络攻击大多发生在应用层和网络层故障，且呈上升趋势，传统的防火墙存在着很大的不足之处，包括无法检测加密的Web流量、无法扩展深度检测功能等，都说F5的 Web 应用防火墙 (WAF)还不错，那么F5的 Web 应用防火墙 (WAF)究竟有什么优势？ 　　保护应用需要正确的 WAF，挡在应用前面的正确 WAF 可以快速阻止应用威胁并减少漏洞。作为总体应用安全性策略的一个关键部分，F5Web 应用防火墙的 WAF 解决方案可以保护您的数据、确保合规性并针对不断演化的应用威胁提供持续的防护。 　　F5的 Web 应用防火墙 (WAF)有什么优势？ 　　1.全面的应用保护：Web 应用防火墙(WAF)主动式自动程序防御、身份管理、实时威胁防护、客户端威胁防御、第 7 层 DoS 防护以及合规性执行和报告。 　　2.主动式自动程序防御：Web 应用防火墙(WAF)识别绕过标准检测方法的恶意自动程序并在威胁进行破坏之前进行化解。 　　3.第七层拒绝服务防护：Web 应用防火墙(WAF)学习并适应您的独特应用层用户交互模式的缓解措施可根据不断变化的情况实现动态防御。 　　4.可视化意味着控制：Web 应用防火墙(WAF)可视化应用以实现威胁管理和业务智能。性能指标和分析数据支持站点和工作流优化。 　　5.智能、适应性防御：Web 应用防火墙

需求背景 类似于论坛型的网站经常会被黑掉，除了增加硬件防护感觉效果还是不太好，还会偶尔被黑，waf的功能正好实现了这个需求。 waf的作用： 防止sql注入，本地包含，部分溢出，fuzzing测试，xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防止ApacheBench之类压力测试工具的攻击 屏蔽常见的扫描黑客工具，扫描器 屏蔽异常的网络请求 屏蔽图片附件类目录php执行权限 防止webshell上传 nginx 的话我选择春哥开源的：OpenResty一个伟大的项目。 OpenResty 介绍 OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty® 通过汇聚各种设计精良的 Nginx 模块（主要由 OpenResty 团队自主开发），从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样，Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块，快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。 OpenResty® 的目标是让你的Web服务直接跑在 Nginx

使用NGINX+LUA实现WAF功能 一、了解WAF 1.1 什么是WAF Web应用防护系统（也称：网站应用级入侵防御系统 。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP白名单和黑名单功能，直接将黑名单的IP访问拒绝。 支持URL白名单，将不需要过滤的URL进行定义。 支持User-Agent的过滤，匹配自定义规则中的条目，然后进行处理（返回403）。 支持CC攻击防护，单个URL指定时间的访问次数，超过设定值，直接返回403。 支持Cookie过滤，匹配自定义规则中的条目，然后进行处理（返回403）。 支持URL过滤，匹配自定义规则中的条目，如果用户请求的URL包含这些，返回403。 支持URL参数过滤，原理同上。 支持日志记录，将所有拒绝的操作，记录到日志中去 1.3 WAF的特点 异常检测协议 Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。 增强的输入验证 增强输入验证

waf主要功能是用于流控，包括UA+IP策略的流控和IP流控两种，目前没有开发单独针对UA的流控。 流控可以真正应用级别或针对url的模糊匹配级别。 老的waf流控使用的是spark，只能配置周期为10s、30s、60s的监控，拦截不够及时，新的waf流控使用flink开发，可以做到秒级的监控和拦截。 配置准实时流控没有高级流控及时，如果有高级别的流控配置可以不用配置准实时流控。 waf有配置防黄牛策略，比如一个用户访问单个接口的比例占该用户访问应用下所有接口的比例超过0.8%就进行拦截。 waf也可以配置防爬，如果一个用户或IP的访问比较均匀，可能就是脚本执行的接口访问，可以进行拦截。 waf作用还是有限，只能用于流控，如果是ddos攻击就不是waf层面可以解决的问题了，比如有cdn的话，就可以通过运营商cdn进行流量清洗。这样经过cdn之后到应用服务器的请求就比较正常了。 来源： https://blog.csdn.net/dongyuxu342719/article/details/99674769

安装 - Linux 下载 http://download.safedog.cn/safedog_linux64.tar.gz wget http://download.safedog.cn/safedog_linux64.tar.gz 解压 tar xvf safedog_linux64.tar 运行 ./install.py 卸载 进入安装包解压目录 chmod +x uninstall.sh ./uninstall.sh 安装 - Windows 下载 http://down.safedog.cn/download/software/safedogfwqV5.0.exe 使用指南 https://www.safedog.cn/download/software/safedogfwq_Windows_Help.pdf https://www.safedog.cn/download/software/safedogfwq_linux_Help.pdf 绕过 PHP反序列化绕过 <?php class A{ public $name; public $male; function __destruct(){ $a = $this->name; $a($this->male); } } unserialize($_POST['un']); ?> POST - un=O:1:"A":2