JSON参数解析对WAF绕过的影响 - 深度技术分析<\/h1>

0x00 背景介绍<\/h2>
在Web应用安全领域，WAF(Web应用防火墙)是保护网站免受攻击的重要防线。然而，由于HTTP协议支持多种数据传输格式，特别是JSON格式的广泛使用，使得攻击者可以利用JSON解析特性绕过WAF防护。<\/p>
本文详细分析JSON格式数据在PHP+MySQL环境中解析时的特殊字符处理机制，以及如何利用这些特性绕过WAF防护。<\/p>

0x01 基础概念<\/h2>

1.1 传统SQL注入示例<\/h3>

考虑以下PHP代码：<\/p>

<?<\/span>php<\/span>
<\/span><\/span>$id =<\/span> $_GET['id'<\/span>];
<\/span><\/span>$sql =<\/span> "select * from article where id=<\/span>$id<\/span>"<\/span>;
<\/span><\/span>mysql_query<\/span>($sql,$conn);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>攻击者可通过构造URL进行注入：<\/p>
article.php?id=1 and 1=1
<\/code><\/pre>
1.2 WAF防护原理<\/h3>
WAF通过检测HTTP请求中的恶意关键字(如"and 1=1")进行阻断。攻击者常用变形手法绕过：<\/p>

and\/**\/1=1<\/code><\/li>
and%0a1=1<\/code><\/li>
and+1=1<\/code><\/li>
<\/ul>
0x02 JSON解析特性<\/h2>
2.1 JSON转义字符<\/h3>
JSON格式数据在解析时会进行特殊字符转义：<\/p>

\"<\/code> → "<\/code><\/li>
\\<\/code> → \<\/code><\/li>
\n<\/code> → 换行符<\/li>
\uXXXX<\/code> → Unicode字符<\/li>
<\/ul>
2.2 测试环境<\/h3>

PHP 5.4.39<\/li>
MySQL 5.1.73<\/li>
测试代码：<\/li>
<\/ul>
<?<\/span>php<\/span>
<\/span><\/span>include_once<\/span> 'global.php'<\/span>;
<\/span><\/span>$id =<\/span> json_decode<\/span>($_GET['id'<\/span>])-><\/span>id<\/span>;
<\/span><\/span>for<\/span>($i =<\/span> 0<\/span>; $i <<\/span> strlen<\/span>($id); $i++<\/span>) {
<\/span><\/span>    printf<\/span>("%x"<\/span>,ord<\/span>($id[$i]));
<\/span><\/span>    echo<\/span> ","<\/span>;
<\/span><\/span>}
<\/span><\/span>$arc =<\/span> getArticleInfo<\/span>($id);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>0x03 编码探测与分析<\/h2>
3.1 URL编码探测<\/h3>
测试URL格式：<\/p>
http:\/\/127.0.0.1\/phpaacms\/show.php?id={"id":"31 and%(00-FF)1=1"}
<\/code><\/pre>
测试结果<\/strong>：<\/p>

仅%20<\/code>(空格)和%2B<\/code>(+)能被正确解析并作为SQL分隔符<\/li>
其他常见分隔符(%0A<\/code>, %0B<\/code>等)无法被json_decode解析<\/li>
<\/ul>
3.2 转义字符探测<\/h3>
测试URL格式：<\/p>
http:\/\/127.0.0.1\/phpaacms\/show.php?id={"id":"31 and\%(00-FF)1=1"}
<\/code><\/pre>
有效转义字符<\/strong>：<\/p>

\f<\/code> (%66<\/code>)<\/li>
\n<\/code> (%6E<\/code>)<\/li>
\r<\/code> (%72<\/code>)<\/li>
\t<\/code> (%74<\/code>)<\/li>
<\/ul>
这些字符被解析后可作为MySQL单词分隔符。<\/p>
3.3 Unicode编码探测<\/h3>
测试URL格式：<\/p>
http:\/\/127.0.0.1\/phpaacms\/show.php?id={"id":"31 and\u00(00-FF)1=1"}
<\/code><\/pre>
有效Unicode编码<\/strong>：<\/p>

\u0009<\/code> (制表符)<\/li>
\u000A<\/code> (换行)<\/li>
\u000B<\/code> (垂直制表符)<\/li>
\u000C<\/code> (换页)<\/li>
\u000D<\/code> (回车)<\/li>
\u0020<\/code> (空格)<\/li>
\u002B<\/code> (+)<\/li>
<\/ul>
3.4 单词内插入测试<\/h3>
测试URL格式：<\/p>
http:\/\/127.0.0.1\/phpaacms\/show.php?id={"id":"31 an\%(00-FF)d 1=1"}
<\/code><\/pre>
测试结果<\/strong>：<\/p>

所有转义字符都会破坏SQL语法<\/li>
无法在单词内部插入转义字符实现绕过<\/li>
<\/ul>
3.5 十六进制编码测试<\/h3>

\00-\FF<\/code>格式：<\/li>
<\/ol>
http:\/\/127.0.0.1\/phpaacms\/show.php?id={"id":"31 and(00-FF) 1=1"}
<\/code><\/pre>

\x00-\xFF<\/code>格式：<\/li>
<\/ol>
http:\/\/127.0.0.1\/phpaacms\/show.php?id={"id":"31 and\x(00-FF)1=1"}
<\/code><\/pre>
测试结果<\/strong>：<\/p>

两种格式均无法被json_decode正确解析<\/li>
<\/ul>
0x04 有效绕过字符总结<\/h2>
在JSON环境下，以下字符可作为MySQL分隔符绕过WAF：<\/p>



类型<\/th>
有效字符<\/th>
<\/tr>
<\/thead>


URL编码<\/td>
%20 (空格), %2B (+)<\/td>
<\/tr>

转义字符<\/td>
\f, \n, \r, \t<\/td>
<\/tr>

Unicode编码<\/td>
\u0009, \u000A, \u000B, \u000C, \u000D, \u0020, \u002B<\/td>
<\/tr>
<\/tbody>
<\/table>
0x05 实战绕过案例<\/h2>
5.1 针对某云WAF的绕过<\/h3>


URL编码绕过<\/strong>：<\/p>

%20<\/code>被拦截<\/li>
%2B<\/code>未被拦截<\/li>
<\/ul>
<\/li>

转义字符绕过<\/strong>：<\/p>

使用\r<\/code>, \f<\/code>, \n<\/code>, \t<\/code>均未被拦截<\/li>
<\/ul>
<\/li>

注释符变形<\/strong>：

传统\/**\/<\/code>可能被拦截，但JSON格式下可使用：<\/p>
{\"id\":\"1 and\\/**\\/1=1\"}
<\/code><\/pre>
\\/<\/code>会被解析为\/<\/code>，形成有效分隔符<\/p>
<\/li>
<\/ol>
0x06 防御建议<\/h2>


WAF改进方向<\/strong>：<\/p>

加强对JSON格式数据的深度解析<\/li>
考虑JSON解码后的实际执行效果<\/li>
增加对转义字符和Unicode编码的检测<\/li>
<\/ul>
<\/li>

开发建议<\/strong>：<\/p>

使用参数化查询而非字符串拼接<\/li>
对JSON解析后的数据进行严格过滤<\/li>
实施最小权限原则<\/li>
<\/ul>
<\/li>
<\/ol>
0x07 结论<\/h2>
JSON参数解析的特殊性为WAF绕过提供了新的途径。WAF产品需要充分考虑业务系统的数据交互流程，特别是各种编码格式的解析细节，才能有效防御此类绕过攻击。同时，开发者应从源头避免SQL注入漏洞的产生，而非单纯依赖WAF防护。<\/p>