网络攻防学习笔记 Day6
WAF 比较常见的检测机制特点有以下几种。
(1)异常检测协议
(2)增强输入验证
(3)及时补丁
(4)基于规则的保护和基于异常的保护
(5)状态管理
(6)其他防护技术
(7)配置规则
WAFW00F 是一个专业识别 WAF 的工具,相较于其他大型内带 WAF 识别的工具要快捷方便很多。其检测的方式为发送正常的 HTTP 请求并分析响应。
WAFW00F 下载地址为:https://github.com/EnableSecurity/wafw00f。
SQLMap 下载地址为:https://github.com/sqlmapproject/sqlmap。
手工识别 WAF 可以使用的方法有:
(1)HTTP 请求包分析响应数据。
(2)通过访问不存在的页面来分析页面。
(3)请求恶意字符分析响应或敏感页面。
在攻击 SQL 注入漏洞的时候,常见的关键字有 and、or、union、where、limit、group by、select 等,这个时候我们可以尝试等价替换或者通过注释等方法进行测试。
WAF 绕过的方式有很多,接下来将详细介绍目前比较流行的三种绕过 WAF 的方法。
1.pipline 绕过
2.分块传输绕过
分块传输编码是超文本传输协议(HTTP)中的一种数据传输机制,允许 HTTP 由网页服务器发送给客户端应用(通常是网页浏览器)的数据分成多个部分。分块传输编码只在 HTTP 协议 1.1 版本(HTTP/1.1)中提供。
首先要在请求头添加“Transfer-Encoding”并且值设为“chunked”,这样才可以进行分块传输。
3.HTTP 协议覆盖绕过
HTTP 协议覆盖绕过通过更换 Content-Type 的类型来绕过 WAF 的检测。
WAF 在对 Content-type 进行检查时,对“multipart/form-data”协议的检测比较少或者把它当作文件上传进行检查。
另一个可以增大绕过概率的方法则是进行 HTTP charset 编码。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/1f0780567b5ee2e4837ef3c03】。文章转载请联系作者。
评论