WAF绕过技术详解与实战指南

1. WAF基础概念

1.1 什么是WAF？

Web Application Firewall(Web应用防火墙)是一种通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的安全产品。

1.2 WAF分类

1. 软件型WAF：

   • 以软件形式安装在服务器上
   • 可接触服务器文件
   • 能检测服务器上的webshell、文件创建等

2. 硬件型WAF：

   • 以硬件形式部署在链路中
   • 支持多种部署方式
   • 串联模式可拦截恶意流量
   • 旁路监听模式只记录不拦截

3. 云WAF：

   • 通常以反向代理形式工作
   • 请求数据先经过WAF主机过滤
   • 过滤后再传给服务器

4. 网站内置WAF：

   • 直接出现在网站代码中
   • 常见实现方式：
     • 对输入参数强制类型转换
     • 对输入参数进行敏感词检测

2. WAF识别技术

2.1 识别工具

1. Wafw00f：

   • GitHub项目：https://github.com/EnableSecurity/wafw00f
   • 自动化识别WAF产品

2. 看图识别：

   • 参考链接：https://mp.weixin.qq.com/s/3uUZKryCufQ_HcuMc8ZgQQ

3. 其他项目脚本平台

2.2 常见WAF产品

1. 硬件型WAF：

   • 绿盟
   • 安恒
   • 启明星辰

2. 软件型WAF：

   • ModSecurity
   • Naxsi
   • ShareWAF
   • 安全狗

3. 云WAF：

   • 阿里云WAF
   • 腾讯云WAF
   • 深信服云WAF
   • Imperva WAF

2.3 WAF检测技术

1. 正则匹配：

   • 容易被绕过（使用加密、编码、分段等技术）

2. 机器语言

3. 行为分析

3. WAF绕过实战技术

3.1 AWVS绕过安全狗(Safedog)

原理：利用爬虫白名单机制

步骤：

1. 启动AWVS
2. 添加目标，下滑到"Crawling"选项
3. 选择"Safari"作为浏览器标识
4. 获取各大搜索引擎的蜘蛛UA头（如百度蜘蛛）
5. 替换为百度蜘蛛UA头
6. 点击保存并开始扫描

效果：访问网站不会触发拦截，成功绕过安全狗

3.2 AWVS绕过宝塔防火墙

原理：使用代理池隐藏真实IP

步骤：

1. 购买隧道代理服务
2. 将自己的主机外网IP设置为白名单
3. 启动AWVS，添加目标后配置代理
4. 配置完成后点击保存并开始扫描

3.3 Xray绕过宝塔防火墙

步骤：

1. 打开Xray根目录
2. 编辑config.yaml文件配置代理
3. 配置Xray代理池
4. 运行Xray，开始正常扫描

3.4 Goby绕过宝塔防火墙

步骤：

1. 按照Goby的规则配置代理
2. 填写代理信息
3. 点击"Check Proxy"测试代理是否可用
4. 测试成功后开始扫描

3.5 Sqlmap绕过宝塔防火墙

使用参数：

• --proxy="http://代理池地址:端口"：配置代理
• --random-agent：使用随机UA头

命令示例：

python sqlmap.py -u "目标地址" --proxy="http://r354.kdltps.com:15818" --random-agent

4. 总结与防御建议

4.1 常见绕过技术总结

1. UA头伪造：利用爬虫白名单机制
2. 代理池技术：隐藏真实IP地址
3. 随机UA头：避免被特征识别
4. 编码/加密：绕过正则匹配检测
5. 分段传输：规避行为分析

4.2 防御建议

1. 多层防御：不要仅依赖WAF
2. 规则更新：定期更新WAF规则
3. 行为分析：加强行为分析能力
4. 日志审计：详细记录并分析拦截日志
5. 白名单机制：谨慎设置白名单规则

通过以上技术和方法，安全测试人员可以有效地绕过常见WAF的防护机制，进行更全面的安全测试。同时，防御方也应了解这些绕过技术，以加强自身的安全防护能力。