网络攻防学习笔记 Day6

WAF 比较常见的检测机制特点有以下几种。

（1）异常检测协议

（2）增强输入验证

（3）及时补丁

（4）基于规则的保护和基于异常的保护

（5）状态管理

（6）其他防护技术

（7）配置规则

WAFW00F 是一个专业识别 WAF 的工具，相较于其他大型内带 WAF 识别的工具要快捷方便很多。其检测的方式为发送正常的 HTTP 请求并分析响应。

WAFW00F 下载地址为：https://github.com/EnableSecurity/wafw00f。

SQLMap 下载地址为：https://github.com/sqlmapproject/sqlmap。

手工识别 WAF 可以使用的方法有：

（1）HTTP 请求包分析响应数据。

（2）通过访问不存在的页面来分析页面。

（3）请求恶意字符分析响应或敏感页面。

在攻击 SQL 注入漏洞的时候，常见的关键字有 and、or、union、where、limit、group by、select 等，这个时候我们可以尝试等价替换或者通过注释等方法进行测试。

WAF 绕过的方式有很多，接下来将详细介绍目前比较流行的三种绕过 WAF 的方法。

1．pipline 绕过

2．分块传输绕过

分块传输编码是超文本传输协议（HTTP）中的一种数据传输机制，允许 HTTP 由网页服务器发送给客户端应用（通常是网页浏览器）的数据分成多个部分。分块传输编码只在 HTTP 协议 1.1 版本（HTTP/1.1）中提供。

首先要在请求头添加“Transfer-Encoding”并且值设为“chunked”，这样才可以进行分块传输。

3．HTTP 协议覆盖绕过

HTTP 协议覆盖绕过通过更换 Content-Type 的类型来绕过 WAF 的检测。

WAF 在对 Content-type 进行检查时，对“multipart/form-data”协议的检测比较少或者把它当作文件上传进行检查。

另一个可以增大绕过概率的方法则是进行 HTTP charset 编码。