# WAF基礎及云WAF繞過 ## WAF基礎 ### WAF簡介 網站WAF是一款服務器安全防護軟件，是為IDC運營商、虛擬主機服務商、企業主機、服務器管理者等用戶提供服務器安全防范的實用系統，是集網站內容安全防護、網站資源保護及網站流量保護功能為一體的服務器工具。 waf硬件軟件功能是差不多，像一個防火墻一樣，創建在企業鏈路上，基本是企業必備的，按域名收費 ### WAF分類 1. 軟件 裝在主機側(服務器)上的軟件,比較出名的如安全狗 2. 硬件 裝在企業鏈路上的,所有流量都要進過的硬件 3. 云waf 通過DNS解析到云WAF，訪問網站的流量要經過指定的DNS服務器解析，然后進入WAF節點進行過濾，最后訪問原始服務器 ### waf檢測階段流程  ## waf繞過方法 ### WAF身份認證階段的繞過 WAF是有一個白名單的，在白名單內的客戶請求將不做檢測 繞過方法一：偽造搜索引擎 老版本的WAF是有這個漏洞的，就是把User-Agent修改為搜索引擎，便可以繞過，進行sql注入等攻擊, 這里推薦一個火狐插件，可以修改User-Agent，叫User-Agent Switcher(現在不可以了) 繞過方法二：偽造白名單特殊目錄 之前360webscan有這個缺陷，如果是admin之類的目錄,就不檢測,現在也不行了 繞過方法三：直接攻擊源站 這個方法可以用于一些云WAF，如果我們能通過一些手段（比如c段、社工）找到原始的服務器地址，便可以繞過 ### 云WAF尋找源站 1. 很多公司不是全部域名都上了云waf 只要找到這些域名,就可以找到真實IP,如郵件域名,就是典型的不上WAF的 2. 利用泛域名獲取真實IP 開啟泛域名解析之后，任何不存在的域名都可以解析為www域名，可以解決暴力破解 當如果我們ping這種不存在的二級域名,得到的會是真實IP地址 3. 同時也可以利用burp中插件bypass waf 注意burp任何插件安裝后都要在項目選項，會話處理進行配置 4. 可以偽造本地訪問,改包頭地址為`127.0.0.1`或其他內網地址