WAF 规则与规避
Web 应用防火墙 (WAF) 充当您网站的数字安全卫士。它通过检查 HTTP 流量,在攻击者到达您的应用程序之前将其拦截。
传统防火墙保护您的网络。而 WAF 保护的是特定的 Web 应用。它通过分析请求和响应来捕捉诸如 SQL 注入和跨站脚本 (XSS) 之类的威胁。
WAF 的工作原理:
- 基于特征的检测:寻找已知的恶意代码模式。
- 基于异常的检测:标记异常行为,例如请求量的突然激增。
- 基于信誉的检测:拦截来自已知恶意 IP 地址的流量。
- 行为分析:通过研究用户会话来发现长期的恶意意图。
WAF 还提供:
- 虚拟补丁:在您开发永久修复方案时,拦截针对漏洞的利用攻击。
- 速率限制:通过限制单个 IP 的请求频率来防止暴力破解攻击。
- Geo-IP 拦截:阻止来自特定地理区域的流量。
攻击者使用规避手段来绕过这些防线。您必须了解这些策略:
- 编码与混淆:攻击者使用 URL、HTML、Base64 或十六进制 (Hex) 编码来隐藏有效载荷。这使得代码在简单规则面前看起来很正常。
- HTTP 参数污染 (HPP):他们发送多个同名的参数。这会干扰 WAF 和应用程序读取数据的方式。
- 分片:将单个攻击拆分为多个小块,分布在请求的不同部分。
- 大小写敏感性:通过改变关键字的大小写(例如
uNiOn sElEcT)来规避简单的过滤器。 - 业务逻辑漏洞利用:利用您特定应用程序的工作机制。WAF 可能会认为这是一个合法的请求,但它实际上仍是盗窃尝试。
如何保持安全:
- 定期更新您的 WAF 以应对新威胁。
- 审查日志以发现可疑模式。
- 调整规则以减少误报。
- 使用分层安全策略。WAF 只是更大防御体系中的一部分。
WAF 是一项至关重要的工具,但它并非万能的解决方案。为了始终领先于攻击者,需要进行持续的监控和调整。
来源:https://dev.to/godofgeeks/waf-web-application-firewall-rules-and-evasion-49p8