【www.jpmy1688.com--各种利率表】
今天,小编我花了大半天的时间,也可以说是一天的时间整理了各种“骚”姿势过waf的思路。由于途中遇到了不少的坑,比如postman这款软件没用过,从安装到使用,到能满足需求,花了我不少时间。另外,对于waf过滤机制的思考和理解,外加总结,也花了我不少的时间。
不过,时间没有白费,对于一些waf我还是有点把握的。但是也有一些waf我很恐惧。。。
这篇文章我个人感觉最有用的就是我画的绕waf思路的思维导图了,特意和大家分享一下。
大概的一个思路我也来说一下。
首先我们得分析一个网站有没有waf,用了什么类型的waf,CDN吗?
这种分析方法也很简单,是不是cdn多ping一下就出来了,不是的话,直接进行敏感操作,只要有waf那么肯定拦截你的恶意请求。
然后,针对waf的类型采取有效的措施。
假如,是cdn,那么用导图中的思路,去想方法绕过。但是,我见过防护比较好的某论坛,全域名都绑定cdn。。。那么只有挖洞,绕过过滤了。
若不是cdn,那么说明怎么也要和waf来干一仗。一般小网站都是装防护软件,大网站,大公司,才去买硬件waf,另外,随着现在云waf的兴起,机器学习,大数据,人工智能的崛起,菜鸟黑客的攻击门槛会越来越高。以后说不定脚本小子这个物种就和杀马特贵族一般成为稀有物种。唯有不断学习,才能突破限制。
而针对那些软、硬waf,可以从协议角度,正则匹配角度进行思考绕过。国内某waf对于协议没有覆盖完全,导致只要攻击者修改请求包,就可以避开waf的检测。对于协议覆盖的好的,我们就从正则匹配角度去思考,只要是正则匹配,那么就很可能有意想不到的绕过方法。同时,我们一定要记住一点,那就是,waf面向的是各种系统,各种数据库,他为了用户,必须得尽可能的提高兼容性,还得防止过多的误报。因此,某些数据库独有的特性,就很可能不在正则匹配之中,或者说,经过拼切各种字符,配合某些数据库独有的特性,那么就很有可能实现绕过waf。
最后,还有一个思路,fuzz,导图中没写。对于可以本地搭建waf环境的waf来说,这个思路非常赞。不过对于云waf,貌似我们还无法本地fuzz。而且,fuzz需要编程基础,最起码要看懂别人的脚本,会进行修改。因此这里不涉及了。欢迎各位绕waf的大佬在评论区交流。