0x00 Предисловие
С обнародованием Закона о национальной безопасности сетевая безопасность открыла новую эру развития, и все больше и больше предприятий или государственных учреждений начали обращать внимание на сетевую безопасность. Многие веб-сайты один за другим прощаются с эпохой полос и начали развертывать брандмауэры веб-приложений (WAF) для борьбы с сетевыми атаками. Таким образом, безопасность связанных веб-сайтов в значительной степени зависит от возможностей защиты WAF, а исследования атак и защиты WAF стали одним из обязательных курсов для специалистов по безопасности.
Большинство WAF обеспечивают безопасность на основе сопоставления правил, некоторые WAF имеют возможности самообучения, а обслуживание правил стало ядром WAF. В последние годы WAF, основанный на семантическом распознавании, появлялся один за другим, и исследование его защитных возможностей также стало одной из горячих точек, которая волнует всех. В этой статье в качестве объекта исследования используется MySQL, обобщается соответствующая технология обхода инъекций WAF, вы можете понять соответствующие характеристики основных WAF на основе реальных боевых учений и, наконец, обобщается безопасность WAF с точки зрения нападения и защиты.
0x01 Краткое описание технологии обхода впрыска
Известные технологии обхода, связанные с WAF, резюмируются следующим образом.В Интернете есть описание соответствующих технологий, поэтому я не буду демонстрировать их здесь по отдельности.
В реальных сценариях атак один метод обхода часто оказывается неэффективным, и нам необходимо комбинировать различные методы обхода и продолжать рассуждать с их соответствующими характеристиками WAF, чтобы действительно добиться обхода.
0x02 Обход обнаружения точки впрыска
Первым шагом обхода WAF является идентификация точки внедрения.Мы получаем URL.Первым шагом является определение того, были ли введены параметры, а затем последующий обход. Простое суждение и 1=1 и 1=2 определенно будет перехвачено WAF. Нам нужно изменить наше мышление, чтобы обойти его. В целом, чтобы сбалансировать отношения между рисками и бизнесом, WAF не будет перехватывать следующие цифровые методы обнаружения. , в противном случае будет сгенерировано большое количество ошибок.Отчет влияет на нормальную работу бизнеса.
Локальная тестовая среда:Если и также будут перехвачены, аналогичные операции оценки могут быть выполнены непосредственно над параметрами, такими как id=1*0, id=1*2, в дополнение к вышеперечисленным методам существует множество других методов обхода производной идентификации, с { "op} В качестве демонстрации вы можете использовать другие методы в соответствии с этой идеей:
Собака безопасности:
Ускорение облачного ускорения Baidu:
Облако Тенсент:
Али Клауд:
После того, как мы подтвердим точку внедрения, следующая цель — полностью обойти WAF для генерации произвольных данных.В качестве примеров ниже приведены последние версии SafeDog, modsecurity, Baidu Cloud Acceleration, Alibaba Cloud Shield и Chaiting Leichi.Предоставляется только обход здесь.Идея то есть, как использовать известные методы для выполнения комбинированных рассуждений для обхода соответствующей защиты WAF.Конкретный процесс вывода данных здесь подробно объясняться не будет.Если вам интересно, вы можете попробовать это вручную.
0x03 Обход собаки безопасности
Локальная тестовая среда без WAF:
В тесте обхода охранной собаки обнаруживается, что можно обойти только один */closes multiple /*!, что просто и грубо.
http://192.168.20.123:81/user.php?id=-11/*!union/*!select/*!1,(select/*!password/*!from/*!test.user limit 0,1),3*/
0x04 Modsecurity Bypass
Модуль modsecurity встроен в локальную среду для защиты безопасности, а для обхода используется комбинация {"op} и /*!50000*/.
http://192.168.20.123/user.php?id=1 and{`version`length((select/*!50000schema_name*/from/*!50000information_schema.schemata*/limit 0,1))>0}
0x05 Обход облачного ускорения Baidu
Используйте –+%0a для обхода.
0x06 Обход облачного щита Alibaba
Используйте –+%0a, переменную @custom, комбинацию клавиш {a} для обхода.
0x07 Обход Чантинг Лейчи
После множества тестов было обнаружено, что у Leichi есть недочеты в обработке символов комментариев MySQL /*!*/, которые можно обойти, просто поместив оператор атаки в символ комментария.
0x08 Автоматический обход
После того, как мы обнаружили способ обойти соответствующий WAF для SQL-инъекций, следующим шагом будет написание скрипта для автоматизации внедрения инструмента. Взяв в качестве примера sqlmap, мы напишем сценарий несанкционированного доступа для автоматизации внедрения.
0x09 Защита WAF
Защита от известных или неизвестных проблем безопасности является ядром функций WAF. Ложные срабатывания и ложные срабатывания являются важными показателями для измерения качества продукта WAF. Конкретная реализация включает своевременное обновление правил и своевременную реакцию на новые методы обхода. Кроме того, данные журнала перехвата следует всесторонне использовать для анализа соответствующего алгоритма, чтобы постоянно улучшать возможности защиты WAF. Подводя итог, можно сказать, что создание отличного WAF — это не однодневное достижение, для этого необходимы долгосрочные технические резервы, постоянные обновления и итерации продукта, а также непрерывная оптимизация алгоритмов для защиты этого важного барьера. В то же время, только постоянно изучая новые и эффективные методы защиты, мы можем быть непобедимы в битве нападения и обороны.
0xa0 Резюме
С точки зрения злоумышленника, существует не так много основных методов обхода WAF, и ключом к прорыву защиты WAF становится то, как интегрировать эти известные методы и комбинировать функции защиты соответствующих WAF, чтобы постоянно рассуждать. Конечно, автоматизированный фазз — правильный путь для новой технологии WAF Bypass. Кроме того, из процесса тестирования обхода личной инъекции обход WAF на основе семантического распознавания намного сложнее, чем обход WAF на основе распознавания правил, и это стоит нашей задачи.
С точки зрения продукта WAF, мера плохого плохого стандарта WAF - это уровень утечки и уровень ложных срабатываний, но эти показатели основаны на WAF и не влияют на нормальный бизнес. Я обнаружил, что WAF на основе правил часто бывает низким, будь то Tencent Cloud WAF или Ali Cloud Shield, который более чувствителен к вводу пользователя, например, ввод запроса на комментарий в параметре будет перехвачен. Семантическая связь на основе WAF и бизнеса высока, а уровень ложных срабатываний снижается. Судя по результатам теста, WAF, основанный на семантической идентификации, имеет большое преимущество перед традиционным WAF, который заслуживает изучения и ссылки на него.
С точки зрения менеджеров по безопасности, из приведенного выше процесса тестирования видно, что независимо от того, является ли это WAF на основе правил или WAF на основе семантического распознавания, существует возможность полного обхода. Основная функция WAF заключается в повышении порога атаки, но он не может устранить события атак и вторжений.Основной способ решения проблем безопасности должен быть исправлен на уровне кода.