渗透测试中常见WAF拦截页面识别与绕过指南

1. WAF概述

Web应用防火墙(WAF)是保护网站免受各种网络攻击的安全解决方案，通过监控、过滤和阻止恶意HTTP/HTTPS流量来保护Web应用。渗透测试人员需要能够识别不同WAF并掌握相应的绕过技术。

2. 常见WAF拦截页面识别

2.1 国内主流WAF

D盾
- 特征：拦截页面通常显示"D盾"或"D-DOS"字样
- 拦截行为：对SQL注入、XSS等攻击有严格检测
云锁
- 特征：页面显示"云锁"或"YunSuo"标识
- 拦截行为：对目录遍历、文件包含等攻击敏感
宝塔网站防火墙
- 特征：页面可能显示"宝塔"或"BT.cn"字样
- 拦截行为：对非常规HTTP请求方法敏感
360系列防护
- 包括360主机卫士、360webscan、360网站卫士
- 特征：页面显示"360"标识或"360Safe"字样
腾讯云WAF
- 特征：拦截页面可能显示"腾讯云"或"Tencent Cloud"
- 拦截行为：对高频请求有自动封禁机制
阿里云盾
- 特征：页面显示"阿里云"或"Alibaba Cloud Security"
- 拦截行为：具有智能学习型防护机制

2.2 国外主流WAF

F5 BIG-IP
- 特征：页面可能显示"F5"或"BIG-IP"字样
- 拦截行为：对协议异常检测严格
Mod_Security
- 特征：默认拦截页面较简单，可能显示"ModSecurity"或"403 Forbidden"
- 拦截行为：基于规则集的检测
dotDefender
- 特征：页面显示"dotDefender"标识
- 拦截行为：对SQL注入特征检测严格

2.3 其他值得注意的WAF

长亭SafeLine
- 特征：页面显示"SafeLine"或"长亭科技"
- 拦截行为：基于语义分析的检测机制
安恒明御WAF
- 特征：页面显示"明御"或"DBAPPSecurity"
- 拦截行为：对Webshell上传检测严格
创宇盾/玄武盾
- 特征：页面显示"知道创宇"或相关标识
- 拦截行为：具有云协同防御能力

3. WAF绕过技术

3.1 通用绕过方法

大小写混淆
- 示例：SeLeCt代替select
- 适用场景：基于简单正则匹配的WAF
注释分割
- 示例：SEL/*xxx*/ECT
- 适用场景：对注释不进行深度解析的WAF
等价替换
- 示例：||代替OR，&&代替AND
- 适用场景：对逻辑运算符检测严格的WAF
编码混淆
- URL编码：%27代替单引号
- HTML实体编码：'代替单引号
- 十六进制编码：0x27代替单引号

3.2 针对特定WAF的绕过技巧

云WAF绕过
- 利用CDN边缘节点差异
- 尝试更改Host头绕过区域限制
- 测试非常规端口访问
基于正则的WAF绕过
- 填充无用字符：SELxxxxxxxxxxxxECT
- 参数污染：id=1&id=1' union select 1,2,3-- -
语义分析型WAF绕过
- 使用非常规语法结构
- 利用数据库特性：如MySQL的/*!50000select*/

3.3 高级绕过技术

HTTP协议层绕过
- 分块传输编码(Transfer-Encoding: chunked)
- 畸形的HTTP头
- 协议覆盖(HTTP/0.9或HTTP/2)
时间延迟攻击
- 利用WAF检测超时机制
- 示例：1' AND (SELECT * FROM (SELECT(SLEEP(5)))a)-- -
资源消耗绕过
- 构造超大请求体耗尽WAF分析资源
- 利用递归解析消耗WAF处理能力

4. WAF识别工具与方法

手动识别
- 发送恶意请求观察响应
- 检查HTTP头中的Server/X-Powered-By字段
- 分析拦截页面的HTML源码特征
自动化工具
- WAFW00F：专用WAF识别工具
- Nmap脚本：http-waf-detect.nse
- Burp Suite插件：WAF识别相关插件
指纹识别
- 特定Cookie字段
- 特定的JS/CSS文件
- 拦截页面的特殊字符串

5. 防御对策

多层防御策略
- 组合使用网络层和应用层防护
- 实施速率限制和异常行为检测
规则更新机制
- 定期更新WAF规则库
- 基于实际攻击数据优化规则
日志分析与监控
- 详细记录拦截事件
- 建立攻击行为分析系统

6. 参考资源

OWASP WAF测试指南
WAF绕过技术白皮书
各大WAF厂商的官方文档
安全社区的研究报告和博客文章

7. 法律与道德声明

所有WAF识别和绕过技术应仅用于授权的渗透测试和安全研究。未经授权的测试可能违反法律，请务必获得书面授权后再进行相关测试。

渗透测试中常见WAF拦截页面识别与绕过指南 1. WAF概述 Web应用防火墙(WAF)是保护网站免受各种网络攻击的安全解决方案，通过监控、过滤和阻止恶意HTTP/HTTPS流量来保护Web应用。渗透测试人员需要能够识别不同WAF并掌握相应的绕过技术。 2. 常见WAF拦截页面识别 2.1 国内主流WAF D盾特征：拦截页面通常显示"D盾"或"D-DOS"字样拦截行为：对SQL注入、XSS等攻击有严格检测云锁特征：页面显示"云锁"或"YunSuo"标识拦截行为：对目录遍历、文件包含等攻击敏感宝塔网站防火墙特征：页面可能显示"宝塔"或"BT.cn"字样拦截行为：对非常规HTTP请求方法敏感 360系列防护包括360主机卫士、360webscan、360网站卫士特征：页面显示"360"标识或"360Safe"字样腾讯云WAF 特征：拦截页面可能显示"腾讯云"或"Tencent Cloud" 拦截行为：对高频请求有自动封禁机制阿里云盾特征：页面显示"阿里云"或"Alibaba Cloud Security" 拦截行为：具有智能学习型防护机制 2.2 国外主流WAF F5 BIG-IP 特征：页面可能显示"F5"或"BIG-IP"字样拦截行为：对协议异常检测严格 Mod_ Security 特征：默认拦截页面较简单，可能显示"ModSecurity"或"403 Forbidden" 拦截行为：基于规则集的检测 dotDefender 特征：页面显示"dotDefender"标识拦截行为：对SQL注入特征检测严格 2.3 其他值得注意的WAF 长亭SafeLine 特征：页面显示"SafeLine"或"长亭科技" 拦截行为：基于语义分析的检测机制安恒明御WAF 特征：页面显示"明御"或"DBAPPSecurity" 拦截行为：对Webshell上传检测严格创宇盾/玄武盾特征：页面显示"知道创宇"或相关标识拦截行为：具有云协同防御能力 3. WAF绕过技术 3.1 通用绕过方法大小写混淆示例： SeLeCt 代替 select 适用场景：基于简单正则匹配的WAF 注释分割示例： SEL/*xxx*/ECT 适用场景：对注释不进行深度解析的WAF 等价替换示例： || 代替 OR ， && 代替 AND 适用场景：对逻辑运算符检测严格的WAF 编码混淆 URL编码： %27 代替单引号 HTML实体编码： ' 代替单引号十六进制编码： 0x27 代替单引号 3.2 针对特定WAF的绕过技巧云WAF绕过利用CDN边缘节点差异尝试更改Host头绕过区域限制测试非常规端口访问基于正则的WAF绕过填充无用字符： SELxxxxxxxxxxxxECT 参数污染： id=1&id=1' union select 1,2,3-- - 语义分析型WAF绕过使用非常规语法结构利用数据库特性：如MySQL的 /*!50000select*/ 3.3 高级绕过技术 HTTP协议层绕过分块传输编码(Transfer-Encoding: chunked) 畸形的HTTP头协议覆盖(HTTP/0.9或HTTP/2) 时间延迟攻击利用WAF检测超时机制示例： 1' AND (SELECT * FROM (SELECT(SLEEP(5)))a)-- - 资源消耗绕过构造超大请求体耗尽WAF分析资源利用递归解析消耗WAF处理能力 4. WAF识别工具与方法手动识别发送恶意请求观察响应检查HTTP头中的Server/X-Powered-By字段分析拦截页面的HTML源码特征自动化工具 WAFW00F：专用WAF识别工具 Nmap脚本： http-waf-detect.nse Burp Suite插件：WAF识别相关插件指纹识别特定Cookie字段特定的JS/CSS文件拦截页面的特殊字符串 5. 防御对策多层防御策略组合使用网络层和应用层防护实施速率限制和异常行为检测规则更新机制定期更新WAF规则库基于实际攻击数据优化规则日志分析与监控详细记录拦截事件建立攻击行为分析系统 6. 参考资源 OWASP WAF测试指南 WAF绕过技术白皮书各大WAF厂商的官方文档安全社区的研究报告和博客文章 7. 法律与道德声明所有WAF识别和绕过技术应仅用于授权的渗透测试和安全研究。未经授权的测试可能违反法律，请务必获得书面授权后再进行相关测试。