在本篇文章中，我們將闡明與 WAF（Web 應用程序防火墻）安全性相關的所有概念。我們還將了解如何繞過防火墻，以便師傅們能夠為大多數惡意威脅和漏洞做好準備。 WAF 繞過是最受關注的概念之一，因為如今高級威脅正以 Web 應用程序為目標來獲取大量數據。 

什么是 Web 應用程序防火墻？

Web 應用程序防火墻 (WAF) 是一種安全工具，可為 Web 應用程序提供針對各種攻擊的保護，例如 SQL 注入、跨站點腳本和其他常見漏洞。WAF 部署在 Web 服務器或應用程序前面，分析所有傳入的 HTTP/HTTPS 流量并阻止任何符合預定義安全規則的請求。

可以將它們配置為根據 IP 地址、用戶代理和其他請求屬性等各種標準僅允許特定類型的流量到達 Web 應用程序。WAF 使用多種技術來檢測和預防攻擊，例如基于簽名的檢測、異常檢測和行為分析。

它們還可以提供其他安全功能，例如加密和身份驗證。WAF 是保護 Web 應用程序的重要工具，但它們并不是完整的解決方案，應與其他安全措施（例如安全編碼實踐、定期漏洞掃描和滲透測試）結合使用。

WAF 如何工作？

Web 應用程序防火墻 (WAF) 的工作原理是檢查傳入 Web 應用程序的 Web 流量、分析請求并根據一組預定義的安全規則阻止任何惡意或可疑請求。以下是 WAF 工作原理的基本步驟：

1.流量攔截：WAF 位于互聯網和 Web 服務器/應用程序之間，攔截所有 HTTP/HTTPS 請求。

2.流量分析：WAF 分析請求標頭和正文，尋找已知的攻擊模式和特征，例如 SQL 注入、跨站點腳本和其他漏洞。

3.規則匹配：WAF 根據一組預定義的安全規則檢查請求，這些規則定義了允許或阻止的內容?？梢耘渲靡巹t以匹配特定模式，例如某種類型的 SQL 注入或特定用戶代理。

4.決策：如果請求符合其中一條安全規則，WAF 將阻止該請求并向客戶端發送錯誤消息或采取安全策略定義的其他操作。如果請求不符合任何規則，則允許其傳遞到 Web 服務器/應用程序。

5.日志記錄和報告：WAF 記錄所有流量和安全事件，允許管理員監控和分析流量和安全事件。

除了這些基本步驟之外，WAF 還可以使用機器學習和行為分析等各種先進技術來檢測和預防零日攻擊和其他新興威脅。

總體而言，WAF 為 Web 應用程序提供了一層重要的安全保障，可以幫助組織防御各種攻擊。

Web 應用程序防火墻的類型：

根據所需的安全操作類型，有三種可配置的防火墻模型。雖然每種類型都有各自的優點和缺點，但建議在決定哪種類型最適合自己的要求之前，先了解每種類型。

阻止名單/黑名單

這種方法根據預先定義的已知惡意行為者、IP 地址或域名列表阻止對資源的訪問。這種方法可以有效抵御已知威脅，但可能無法防范新的或未知的威脅。

允許名單/白名單

此方法僅允許預先定義的已批準用戶、IP 地址或域名列表訪問資源。此方法可能更安全，因為它僅允許已批準實體訪問，但可能更難管理，因為它需要頻繁更新列表。

黑白名單相結合

這種方法結合了黑名單和白名單方法，提供了一種全面的訪問控制方法。通過同時使用這兩種方法，組織可以阻止已知的惡意行為者訪問資源，同時允許已獲批準的實體訪問。

總體而言，方法的選擇取決于組織的具體需求和安全要求。 

結合 WAF，可以使用黑名單、白名單和混合方法來提供針對 Web 應用程序威脅的額外保護層，從而增強安全性。

WAF 實施的類型

WAF 實施必須適合組織需求才能提供保護。下面已細分三種類型的 WAF 實施策略，以便更好地評估最適合需求的理想解決方案。

1.基于主機的 WAF

此部署選項涉及直接在 Web 服務器上安裝 WAF 軟件。WAF 作為操作系統內的模塊或 Web 服務器軟件的擴展運行。基于主機的 WAF 通常是基于軟件的 WAF，可以對服務器的 Web 流量提供精細控制，但可擴展性可能有限并且需要更多資源來維護。

2.基于云的 WAF

此部署選項涉及將 WAF（Web 應用程序防火墻）部署為云中的服務。基于云的 WAF 通常由第三方提供商提供，例如 Amazon Web Services (AWS) 或 Microsoft Azure。基于云的 WAF 可以提供高度的可擴展性、靈活性和減少的維護，但成本可能更高并且需要對第三方提供商有更多的信任。

3.基于網絡的 WAF

此部署選項涉及將 WAF 放置在客戶端和服務器之間并監控它們之間的所有流量。基于網絡的 WAF 可以基于硬件或基于軟件，可以提供針對 Web 應用程序威脅的全面保護。但是，它們可能具有更高的延遲，并且需要更復雜的網絡基礎設施。

總體而言，WAF 部署選項的選擇取決于組織的特定需求和安全要求，以及預算、現有基礎設施和員工資源等因素。

可以遵循以下一些技術來繞過 WAF，以確保在威脅發現時有一個行動計劃。

案例：

一些 Web 應用程序防火墻不夠完善，只能過濾某些場景。為了優化有效負載的創建，可以使用大寫和小寫字符的組合。

標準：<script>alert()</script>
已繞過：<ScRipT>alert()</sCRipT>

URL 編碼

要轉換常規有效負載，可以使用 % 編碼或 URL 編碼等編碼方法。有在線工具可用于此目的。Burp 配備了內置編碼器/解碼器功能。

已阻止：<svG/x=”>”/oNloaD=confirm()//
已繞過：%3CsvG%2Fx%3D%22%3E%22%2FoNloaD%3Dconfirm%28%29%2F%2F

Unicode 編碼

該技術可用于大多數現代 Web 應用程序，這些應用程序通常使用 UTF-8 編碼，因此容易受到攻擊。

Unicode 編碼的 ASCII 字符可以提供繞過安全措施的有用替代方案?？梢詫ν暾虿糠钟行ж撦d進行編碼以實現所需的結果。

標準：prompt()
模糊處理：\u0070r\u06f\u006dpt()

HTML 編碼

通常，Web 應用程序會將特殊字符轉換為 HTML 編碼格式并適當地顯示它們。這可以通過通用方法或數字方法實現涉及 HTML 編碼的基本繞過場景。

標準：“><imgsrc=xonerror=confirm()>
編碼："><img src=x onerror=confirm()> (一般形式)
編碼："><imgsrc=xonerror=confirm()>（數字參考）

混合編碼

Web 應用程序防火墻 (WAF) 規則通常針對特定類型的編碼。但是，可以通過使用混合編碼負載（結合多種編碼技術）來規避此類過濾器。此外，使用制表符和換行符也有助于混淆負載。

混淆：

< AHREF=”http://66.000146.0×7.147/”> XSS </A>

使用注釋

評論可以隱藏標準有效載荷向量，并且不同類型的有效載荷可能需要不同的混淆方法。

已阻止：<script>alert()</script>
繞過：<!–><script>alert/**/()/**/</script>

雙重編碼

雙重編碼是一種通過對字符進行兩次編碼來繞過 Web 應用程序防火墻 (WAF) 的技術。例如，如果 WAF 旨在阻止 URL 編碼中使用的 % 字符，那么攻擊者可以將該字符雙重編碼為 %25 以繞過 WAF。

通配符混淆技術

通配符混淆是一種使用通配符繞過 Web 應用程序防火墻 (WAF) 的技術。該技術涉及以 WAF 無法識別的方式對有效負載進行編碼。以下代碼片段演示了如何使用通配符混淆：

輸入：SELECT * FROM users WHERE username = ‘admin’ AND password = ‘password’編碼有效載荷：SELEC%2A%2AFROM%2A%2Ausers%2A%2AWHERE%2A%2Ausername%2A%2A%3D%2A%2A’admin’%2A%2AAND%2A%2Apassword%2A%2A%3D%2A%2A’password’解碼的有效載荷：SELECT**FROM**users**WHERE**username**=**’admin’**AND**password**=**’password’

在此示例中，星號 (*) 用作通配符，以替換原始 SQL 查詢中的空格。WAF 不會將編碼的有效負載識別為 SQL 查詢，并會允許其通過。

通過使用此技術，攻擊者可以逃避旨在阻止某些字符或關鍵字的 WAF。

垃圾字符技術

垃圾字符技術是一種通過在有效負載中插入隨機或無意義的字符來繞過 Web 應用程序防火墻 (WAF) 的方法。以下代碼片段演示了如何使用垃圾字符來逃避 WAF：

基本請求：<script>confirm()</script>
混淆有效負載：<script>+-+-1-+-+confirm()</script>

換行技巧

換行技術是一種通過在有效負載中插入換行來繞過 Web 應用程序防火墻 (WAF) 的方法。

該技術涉及將有效載荷分成多行并插入換行符以隱藏惡意代碼。以下是換行符技術的示例：

基本請求：<iframe src=javascript:confirm(hacker)”>混淆有效負載：<iframe src=”%0Aj%0Aa%0Av%0Aa%0As%0Ac%0Ar%0Ai%0Ap%0At%0A%3Aconfirm(hacker)”>

閱讀原文：原文鏈接