WAF
========================================

简介
----------------------------------------

概念
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
WAF（Web Application Firewall，Web应用防火墙）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供加固的产品。

在市场上，有各种价格各种功能和选项的WAF。在一定程度上，WAF能为Web应用提供安全性，但是不能保证完全的安全。

常见功能
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 检测异常协议，拒绝不符合HTTP标准的请求
- 对状态管理进行会话保护
- Cookies保护
- 信息泄露保护
- DDoS防护
- 禁止某些IP访问
- 可疑IP检查
- 安全HTTP头管理
    - X-XSS-Protection
    - X-Frame-Options
- 机制检测
    - CSRF token
    - HSTS

布置位置
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
按布置位置，WAF可以分为云WAF、主机防护软件和硬件防护。云WAF布置在云上，请求先经过云服务器而后流向主机。主机防护软件需要主机预先安装对应软件，如mod_security、ngx-lua-waf等，对主机进行防护。硬件防护指流量流向主机时，先经过设备的清洗和拦截。

防护方式
----------------------------------------
WAF常用的方法有关键字检测、正则表达式检测、语法分析、行为分析、声誉分析、机器学习等。

基于正则的保护是最常见的保护方式。开发者用一些设定好的正则规则来检测载荷是否存在攻击性。基于正则的防护较为简单，因此存在一些缺点。例如只能应用于单次请求，而且正则很难应用到一些复杂的协议上。

基于语法的分析相对正则来说更快而且更准确，这种分析会把载荷按照语法解析成的符号组，然后在符号组中寻找危险的关键字。这种方式对一些载荷的变式有较好的效果，但是同样的，对解析器要求较高。

基于行为的分析着眼的范围更广一些，例如攻击者的端口扫描行为、目录爆破、参数测试或者一些其他自动化或者攻击的模式都会被纳入考虑之中。

基于声誉的分析可以比较好的过滤掉一些可疑的来源，例如常用的VPN、匿名代理、Tor节点、僵尸网络节点的IP等。

基于机器学习的WAF涉及到的范围非常广，效果也因具体实现和场景而较为多样化。

除了按具体的方法分，也可以根据白名单和黑名单的使用来分类。基于白名单的WAF适用于稳定的Web应用，而基于黑名单则适合处理已知问题。

扫描器防御
----------------------------------------
- 基于User-Agent识别
- 基于攻击载荷识别
- 验证码

WAF指纹
----------------------------------------
- 额外的Cookie
- 额外的Header
- 被拒绝请求时的返回内容
- 被拒绝请求时的返回响应码
- IP

绕过方式
----------------------------------------

基于架构的绕过
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 站点在WAF后，但是站点可直连
- 站点在云服务器中，对同网段服务器无WAF

基于资源的绕过
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 使用消耗大的载荷，耗尽WAF的计算资源
- 提供大量的无效参数

基于解析的绕过
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 字符集解析不同
- 协议覆盖不全
    - POST的JSON传参 / ``form-data`` / ``multipart/form-data``
- 协议解析不正确
- 站点和WAF对https有部分不一致
- WAF解析与Web服务解析不一致
    - 部分ASP+IIS会转换 ``%u0065`` 格式的字符
    - Apache会解析畸形Method
    - 同一个参数多次出现，取的位置不一样
    - HTTP Parameter Pollution (HPP)
    - HTTP Parameter Fragmentation (HPF)

基于规则的绕过
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 等价替换
    - 大小写变换
        - ``select`` => ``sEleCt``
        - ``<sCrIpt>alert(1)</script>``
    - 字符编码
        - URL编码
        - 十六进制编码
        - Unicode解析
        - Base64
        - HTML
        - JSFuck
        - 其他编码格式
    - 等价函数
    - 等价变量
    - 关键字拆分
    - 字符串操作
- 字符干扰
    - 空字符
        - NULL (\x00)
        - 空格
        - 回车 (\x0d)
        - 换行 (\x0a)
        - 垂直制表 (\x0b)
        - 水平制表 (\x09)
        - 换页 (\x0c)
    - 注释
- 特殊符号
    - 注释符
    - 引号（反引号、单引号、双引号）
- 利用服务本身特点
    - 替换可疑关键字为空
        - ``selselectect`` => ``select``
- 少见特性未在规则列表中

参考链接
----------------------------------------
- `WAF攻防研究之四个层次Bypass WAF <https://www.weibo.com/ttarticle/p/show?id=2309404007261092631700&sudaref=www.google.com.hk&display=0&retcode=6102>`_
- `我的WafBypass之道 SQL注入篇 <https://xz.aliyun.com/t/368>`_
- `WAF through the eyes of hackers <https://habr.com/en/company/dsec/blog/454592/>`_