WAF（web应用防火墙）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

---

---

一、WAF的工作原理

WAF工作在web服务器之前，对基于HTTP/HTTPS协议的通信进行检测和识别。在用户请求到达web服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户的请求安全且有效，对无效或有攻击行为的请求进行阻断或隔离。
WAF的解决步骤大概可分为四部分：预备处理、标准检测、解决控制模块、系统日志记录。
　　1.预备处理
　　先分辨是不是HTTP/HTTPS请求，然后查询该URL请求是不是在权限以内，加入该URL请求在权限目录内，交到后端响应；没有则进行标准检验。
　　2.标准检验
　　不同的WAF有自有的检验规则，通过WAF标准去检验数据文件，查看是否有故意攻击行为。
　　3.解决控制模块
　　对于不一样的检验结果，会做出不一样的防御姿势。不同的WAF产品自定义的阻拦页面不一样，所以我们可以根据阻拦页面判断网站使用的是哪一种WAF，进而展开绕过。
　　4.系统日志记录
　　WAF在整个工作过程中，会将系统日志记录下来，便于分析。

---

二、WAF的常见功能

1、检测异常协议，拒绝不符合HTTP/HTTPS标准的请求。
　　针对HTTP和HTTPS的请求进行异常检测，阻断不符合请求的访问，并且严格的限制HTTP协议中没有完全限制的规则。
2、对可疑IP进行检查
3、禁止某些IP的访问
　　WAF可以指定规则，添加IP黑名单和白名单，限制IP的访问策略。
4、DDOS防护
　　WAF主要通过指纹识别来对DDOS进行防护，，通过监测应用层数据对齐进行控制或者访问控制。云WAF主要利用DNS解析对网站进行DDOS防护；软件WAF主要通过监听端口或者web容器扩展的方式进行请求的检测和阻断。硬件WAF一般部署在web服务器前端，用来检测异常数据，和流量，所以在DDOS防护方面优于软件WAF。
5、防止信息泄露，保护信息安全
6、对cookies进行保护
　　主要是通过加密set-cookie中的键值来保护cookie不被盗取，利用。
7、添加检测机制
　　WAF可以通过在数据访问时添加csrf token，防止攻击，某些waf，会配置HSTS（由互联网工程任务组发布的互联网安全策略机制），默认使用HTTPS进行通信。
8、管理HTTP头
　　X-XSS-Protection：可以在检测到反射的跨站点脚本（XSS）攻击时阻止页面加载。这些保护在很大程度上是不必要的，但是某些旧版浏览器不支持CSP（内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击），所以他可以为这些不支持CSP的进行保护。
X-Frame-Options：是用来给浏览器 指示允许一个页面 可否在 , , 或者 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免 clickjacking 攻击。

---

三、WAF种类

1、软件型WAF
　　软件型WAF是以软件的形式直接安装在服务器上的，所以他可以直接检查和他共处在服务器上的文件，软件等。可检查服务器上是否有webshell文件，是否有文件、账号等被创建。
　　软件WAF对HTTP协议是自己进行解析的，所以可能存在与web服务器对HTTP请求的理解不一致导致被绕过。
常见的软件WAF：安全狗、安全卫士等，造价相对便宜。

2、硬件型WAF
　　以硬件的形式部署在链路中，部署方式比较多样，串联在链路上时可以拦截恶意流量，在旁路监听模式下只记录攻击但是不进行拦截。硬件WAF是通过攻击规则库对异常流量进行识别的，所以可能存在误杀；而且它对HTTP协议是自行进行解析，所以可能存在与web服务器对HTTP请求的理解不一致导致被绕过。
　　硬件WAF一般情况下部署在交换机上。
　　
3、云WAF
　　一般以反向代理的形式工作，通过配置NS记录或者CNAME记录，使对网站的请求报文优先经过WAF主机，经过WAF主机过滤后，将认为无害的请求报文再发送给实际网站服务器进行请求，可以说是带防护功能的CDN（内容分发网络）。
　　云WAF的防护规则都处于云端，由云端负责规则的更新和维护。
　　云WAF是通过将用户的DNS解析到云节点实现防护的，但是如果黑客有服务器的真是IP地址，就可以轻松绕过云WAF。
　　
4、网站系统内置的WAF
　　网站系统内置的WAF也可以说是网站系统内置的过滤，直接镶嵌在代码中，自由度比较高。一般有以下几种情况：
　　①输入参数强制类型转换
　　②输入参数合法性检查
　　③关键函数执行（sql执行、页面显示、命令执行等）前，对经过代码流程的函数进行检测。
　　④对输入的数据进行替换过滤后再继续执行代码流程（转义/替换掉特殊字符等）。

---

四、WAF的判断

大部分检测脚本或者工具都是根据cookie信息、返回头、返回内容来判断WAF类别的。
1、使用sqlmap进行判断
　　sqlmap中自带了识别waf的模块可以识别出网站的waf种类，如果安装的waf没有什么特征，识别出来的就是：Generic。

python sqlmap.py -u “http://www.xxxx.com?id=1” --identify-waf

2、使用手工进行判断
　　使用手工进行判断的时候，判断原则是输出的内容网站是否拦截过滤。
在URL地址后面加上测试语句即可：如：union select 1,2,3%23，把测试语句放到一个不存在的参数名中，如果触发了WAF的防护，说明网站存在WAF，反之，不存在。
构造aaa=select 1,2,3%23

被拦截的表现为：页面无法访问、响应码不同、返回与正常请求网页时不同的结果等。
3、Wafw00f
工具下载地址：(https://github.com/EnableSecurity/wafw00f)
使用方法：python wafw00f.py http://www.xxx.com/

4、xenoitx
工具下载地址：(https://github.com/ajinabraham/OWASP-Xenotix-XSS-Exploit-Framework)

---

五、WAF的绕过

WAF常见的绕过方式大致分为四大类：

1、基于规则的绕过
<1>字符变换
　　大小写变换：script=>sCRipt
　　字符编码：
　　编码方式比较多样，如URL编码、十六进制编码、Unicode编码、HTML编码、Base64编码、JSfuck编码等。
　　等价函数：
　　我们在进行基于时间的SQL注入时，通常会使用不同的时间函数：如sleep()；benchmark()。
　　等价变量：

　　　　And = &&
　　　　Or = ||
　　　　等于 = like 
　　　　if(a,b,c) = case when(A) then B else C end
　　　　substr(str,1,1) = substr (str) from 1 for 1
　　　　limit 1,1 = limit 1 offset 1
　　　　Union select 1,2 = union select * from ((select 1)A join (select 2)B;
　　　　sleep() = benchmark()
　　　　concat_ws() = group_concat()
　　　　substr() = substring()
　　　　@@user = user()
　　　　@@datadir = datadir(

<2>字符干扰

　　　　空字符
　　　　NULL (x00)
　　　　空格 
　　　　回车 (x0d)
　　　　换行 (x0a)
　　　　垂直制表 (x0b)
　　　　水平制表 (x09)
　　　　换页 (x0c)

<3>特殊符号
　　单引号；双引号；反引号
<4>利用服务本身特点
　　 WAF针对不同的服务器，他的过滤规则会有些许差异：

windows：　
whoami = ((((Wh^o^am””i))))     　　#利用符号分割字符执行whoami
Linux:
whoami = w’h’o’a’m”i” 　　　　　　　　#单引号或双引号连接符，需要闭合
Cat /etc/passwd = cat /?t*/??ss** 　　#?,*通配符

<5>其他
　　
2、基于解析的绕过
<1>字符集解析不同
<2>协议覆盖不全
POST 的 JSON 传参 / form-data / multipart/form-data
<3>协议解析不正确
<4>站点和 WAF 对 https 有部分不一致
<5>WAF 解析与 Web 服务解析不一致
　　部分 ASP+IIS 会转换 %u0065 格式的字符
　　Apache 会解析畸形 Method：
　　　　.php –> /1.php.dvw.123 从后往前解析，碰到php才会解析
　　Iis5.0-6.0解析漏洞
　　 　　xx.asp/xx.jpg ，xx.asp目录下的文件都解析成asp文件
　　　　 xx.asp;.jpg 默认被解析为asp文件
　　Iis7.5解析漏洞(php.ini开启fix_pathinfo)
　　　　xx.jpg 我们在上传文件时，一句话木马写成xx.jpg，访问时后面加上xx.jpg/xx.php，图片文件会以php格式执行
　　nginx解析漏洞(php.ini开启fix_pathinfo)
　　　　xx.jpg%00.php Nginx <8.03 空字节代码执行漏洞
　　同一个参数多次出现， 取的位置不一样

3、基于资源的绕过

使用消耗大的载荷，耗尽WAF的计算资源，通过增加传递得参数数量，达到waf检测上限，超出的参数就可绕过waf了。比如waf检测文本内容为40字节，多出40的就不再检测，那我们可以把脚本文件写在40个字节文件之后。
　　再比如我们通过缓冲区溢出绕过WAF：当我们上传到服务器的数据量大于waf可以检测的数据量时，可以通过发送大量的垃圾数据将 WAF 溢出，从而绕过waf。
union select= and (select 1)=(select 0xA*111111111111) unIon select
and 1=1 = and 1=1 and 111111…11111111
4、基于架构的绕过

<1>站点在WAF后面，但是站点可以直连
<2>站点在云服务器中，同网段服务器没有WAF

5、HTTP Parameter Pollution (HPP)
HTTP参数污染允许攻击者制作请求以操纵或检索隐藏信息，具体如下：

ASP.NET//IIS-----传入参数：=par=v1&par=v2&par=v3-----解析为：=par=v1，v2，v3
ASP/IIS-----传入参数：=par=v1&par=v2&par=v3-----解析为：=par=v1，v2，v3
PHP/Apache-----传入参数：=par=v1&par=v2&par=v3-----解析为：=par=v3
PHP/Zeus-----传入参数：=par=v1&par=v2&par=v3-----解析为：=par=v3
JSP, Servlet/Apache Tomcat-----传入参数：=par=v1&par=v2&par=v3-----解析为：=par=v1

6、HTTP Parameter Fragmentation (HPF)
HHTP参数分段，具体如下：
在一个SQL查询中有两个或多个用户参数，例如：

Query("select * from table where a=".$_REQUEST ['a']." and b>".$_REQUEST ['b']);
Query("select * from table where a=.$_REQUEST['a']." and b<".$_REQUEST ['b']." limit ".$_REQUEST['c']);
etc.

在验证从Web应用程序级别的用户接收到的参数值的阶段，该应用程序只能使用Web服务器的变量运行，而WAF（取决于模式）可以直接使用原始HTTP数据运行。但是，不管访问数据的方法如何，都涉及为每个单独的参数使用某些正则表达式。即：

preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['a'])
preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['b'])
preg_match("/(uni)(on.+sel)(ect)/is", $_REQUEST ['c'])
...
preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['a'])
preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['b'])
preg_match("/(sel)(ect.+fr)(om)/is", $_REQUEST ['c'])
...

因此，如果将SQL查询的逻辑划分为几个输入该SQL查询的参数，然后使用注释将这些片段连接起来，则可以绕过所描述的过滤器：

/？a = 1 + union / *＆b = * / select + 1,2
/？a = 1 + union / *＆b = * / select + 1，pass / *＆c = * / from + users

所以实际的操作语句为

select * from table where a=1 union select 1,2
select * from table where a=1 union select 1,pass from users

---

六、WAF指纹

1、额外的 Cookie
2、额外的 Header
3、被拒绝请求时的返回内容
4、被拒绝请求时的返回响应码
5、IP

---

七、部分WAF指纹

1、WebKinght：
如何在“事件响应处理”设置中未取消选中“直接响应”，“响应重定向”和“使用响应”状态’。WebKnight将不会丢弃请求，并将相关内容发送回客户端。
直接使用响应：如果检测到攻击，则将提供位于WebKnight目录中的文件deny.htm（在WebKnight 1.3及更高版本中为nohack.htm）
如果文件不存在，或者读取文件时发生错误，则将发送回默认文本“ WebKnight应用程序防火墙警报”。
如果使用响应重定向：IIS将以302状态（“对象已移动”）记录被阻止的请求，而直接使用“响应”时，IIS日志文件中将不会记录任何内容。
当重定向客户端并且该页面也被阻止时，将无限地重定向客户端（大多数浏览器都会给出有关“超过最大重定向次数”的错误）。
具体可查看官方文档：(https://www.aqtronix.com/)

2、ModSecuroty：
ModSecurity是一个开放源代码，跨平台的Web应用程序防火墙（WAF）模块。它被称为WAF的“瑞士军刀”，它使Web应用程序防御者能够
了解HTTP（S）流量，并提供电源规则语言和API来实施高级保护。ModSecurity只能嵌入在Apache 2.x中，但是当将其部署为反向代理时，
它可以用于保护任何Web服务器。
一个恶意的请求Mod_Security会在响应头返回“406 Not acceptable”的信息。

HTTP/1.0 406 Not Acceptable
Cache-Control: No-Cache
Pragma: No-Cache
Connection: Keep-Alive
Content-Length: 0

具体可查看官方文档：(https://www.modsecurity.org)

3、360防火墙：
响应头包含X-Powered-By-360WZB
异常请求时返回493状态码
页面源码可以找到对 wzws-waf-cgi 引用

4、云锁:
响应头包含yunsuo_session 字段
阻止响应页面

5、云盾：
响应头包含yundun关键字
页面源代码有errors.aliyun.com引用

6、安全狗:
响应头包含 waf 2.0
Safedog 等字样

HTTP/1.1 200 OK
Content-Length: 689
Content-Type: text/html
Last-Modified: Thu, 27 Dec 2018 08:03:11 GMT
Accept-Ranges: bytes
ETag: "5e49439cba9dd41:0"
Server: Microsoft-IIS/7.5
X-Powered-By: WAF/2.0
Date: Sun, 13 Dec 2020 20:33:49 GMT

7、腾讯云：
阻止响应页面包含waf.tencent-cloud.com 引用
阻止响应代码 405 method not allow

8、安全宝：
恶意请求时返回405恶意代码
响应头包含X-Powered-by-Anquanbao

HTTP/1.1 406 Not Acceptable
Connection: close
Content-Length: 584
Content-Type: text/html
Date: Tue, 15 Dec 2020 03:18:45 GMT
Server: ASERVER/1.8.0-3
X-Powered-By-Anquanbao: MISS from pon-bj-xy-ib5

9、百度云加速：
响应头包含 Yunjiasu-ngnix

HTTP/1.1 403 Forbidden
Connection: close
Content-Length: 16
Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cf-Ray: 601f31327b2d4887-TNA
Cf-Request-Id: 07075d138f00004887d517b000000001
Content-Type: text/plain; charset=UTF-8
Date: Tue, 15 Dec 2020 09:38:31 GMT
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Server: yunjiasu-nginx
Set-Cookie: __cfduid=d24058fa10fcb3f938923e75816b1e31b1608025111; expires=Thu, 14-Jan-21 09:38:31 GMT; path=/; domain=.119.188.9.54; HttpOnly; SameSite=Lax
X-Frame-Options: SAMEORIGIN

10、创宇盾：
恶意请求时 页面url 365cyd.com 365cyd.net

11、Profense：

def isprofense(self):
        """
        Checks for server headers containing "profense"
        """
        return self.matchheader(('server','profense'))

---