Web应用程序防火墙(WAF)是Web服务器(例如Apache的mod_security)或服务(例如Cloudflare,Incapsula,SUCURI)的附加组件(模块),它们是在向用户发送从用户收到的请求到Web服务器之前,对其举行剖析,若是有危险,则阻止或修改它。
应用防火墙还可以执行攻击检测和防御功效。
若是WAF是Web服务器模块,则此软件在统一服务器(盘算机)上运行。若是WAF是一项单独的服务,则事情方案如下:
1.要珍爱的网站在统一服务器上运行而不受珍爱。
2. DNS record A提供Web应用程序防火墙的IP地址,即Cloudflare,Incapsula,SUCURI或其他一些IP地址,而不是此网站的IP地址。Cloudflare提供的平安服务是辅助网站阻止来自网络的黑客攻击、垃圾邮件等,并提升网页的浏览速率,这和一样平常的平安软件往往会影响网页的运行速率截然差异。现在Cloudflare在全球拥有152个数据中央,若是用户使用了其服务,那么网络流量将通过Cloudflare的全球网络智能路由。
Incapsula由一群平安行业资深人士于 2009 年开办,他们在 Web 应用程序平安、在线平安和身份盗用等方面具有很强的手艺专长。与CloudFlare差异,Sucuri不提供免费设计。
3.之后,当用户向受珍爱的网站发出请求时,所有请求都将发送到Cloudflare,Incapsula,SUCURI或类似服务。
4.该服务吸收请求,对其举行处置,然后向源服务器(让我提醒你,源服务器甚至没有受到珍爱)发出请求,从源服务器吸收需要的页面/数据,并将其重定向到发出请求的用户。
对于毗邻到网站的通俗接见者而言,没有任何区别,一切都是自然而然举行的。然则出于审核网站的目的,Web应用程序防火墙可能会成为问题。 WAF阻止恶意请求并防御DoS攻击。同时,来自剧本(木马)的请求不能被接受,它们在初始阶段或验证码通过阶段就被过滤掉了,这使得无法使用WPScan,sqlmap等工具来搜索网站的破绽。若是在服务器中嵌入WAF的情形下(例如mod_security),只有一个绕过选项是可能的,则组织此类请求以绕过基于规则的模式,那么对于WAF服务,可能有两个选项:
1.与通俗WAF相同,即试图逾越规则;
2.绕过WAF将请求直接发送到服务器;
在绝大多数情形下,源服务器(它们正在实验借助外部WAF服务加以珍爱)仍被设置为接受和处置来自任何人(而不仅仅是来自充当署理的WAF)的请求。因此,若是你只知道网站的真实IP,则可以完全抵消他们使用WAF服务举行珍爱的实验。
因此,Cloudflare以及Incapsula,SUCURI等的绕过战略,可以归结为找到了一个真正的IP网站。这个主题(搜索一个真实的IP站点)已经在miloserdov.org网站上讨论过好几回了,由于出于其他目的也需要真实IP:信息网络、界限研究、在统一服务器上搜索其他网站,等等。顺便说一下,关于这些问题,请参阅以下文章:
若何查找一个IP上的所有网站;
剖解诈骗者网站(案例);
若何在Cloudflare中查找网站的真实IP;
若何确定网站是否在CloudFlare之后;
这个义务是专门为专用工具而设计的,好比CloudFail。在前面提到的文章中,我经常使用这种方式,即查看域的DNS纪录的SecurityTrails历史纪录,并检查(使用cURL并指定主机名)找到的哪个IP地址将准确响应。
通过绕过DNS历史纪录剧本(这是程序的名称),该手艺以及其他一些手艺在绕过防火墙中是自动举行的。
事情中使用了以下服务:
Securitytrails;
CrimeFlare;
Certspotter;
DNSDumpster;
IPinfo;
ViewDNS;
该剧本实验通过差其余方式找出真正的IP:
DNS历史剖析;
搜索子域并剖析子域的IP地址;
查询所有找到的IP地址以举行验证;
通过在Kali Linux上滥用DNS历史纪录来安装以绕过防火墙:
,,U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。
通过滥用BlackArch中的DNS历史纪录来安装以绕过防火墙:
使用该程序异常简朴:只有一个强制性-d选项,之后你需要指定要剖析的域:
效果,为anti-malware.ru域找到了服务器的真实IP地址:
[IP]列是可绕过WAF直接接见的地址,绕过WAF. [Confidence] 是地址数据准确的置信度(可能有几个具有差异置信度的IP变体),[Organization]:拥有找到的IP的人。
该程序将网络IP列表,并将仅在主域中对其举行检查。若是要检查找到的IP是否与检测到的子域匹配,请使用-a选项:
要将效果保留到文件中,请使用-o选项,然后你需要指定文件名,例如:
只会把找到的IP保留到文件中。
在更庞大的情形中,当程序无法确定现实IP地址时,可以提供辅助。事实上,只管bypass-firewall-dns-history剧本使用了快速的子域搜索服务,但它们并不总是显示最完整的效果。你可以使用其他工具和服务构建自己的子域列表。例如,使用Amass:
找到的子域将被保留到subdm.txt文件中。现在使用-l选项,你可以指定文件的路径和附加的子域,它也将用于搜索真正的IP网站:
在这种情形下,纵然没有外部程序举行子域搜索,也可以确定真正的IP,这仅仅是针对难题情形接纳行动的算法的一个示例。
若何使用发现的IP(后行使)
当找到一种绕过Web应用程序防火墙的方式(找到网站的真实IP)时,就会有两种选择:
第一种选择:编辑主机文件,这样任何来自你的操作系统和程序的请求都市绕过防火墙直接发送到网站。在Linux/Mac系统上,这是/etc/hosts文件,在Windows系统上,这是c:\Windows\System32\Drivers\etc\hosts,将添加如下内容:
第二个选择:设置Burp Suite。参照截图举行设置:
从现在最先,你的HTTP流量将直接转到原始Web服务器。现在,你可以根据通常的方式执行渗透测试,你的请求将不会在WAF中被阻止。
若何提防此剧本?
若是使用的是Web应用程序防火墙,请确保仅接受通过防火墙的流量。清扫所有直接来自互联网的流量。例如,Cloudflare有一个IP列表,你可以将其添加到iptables或UFW的白名单中,并阻止所有其他流量。
首先,请确保没有可通过全局网络接见且仍接受毗邻的旧服务器。
其次,在线搜索Cloudflare, Incapsula, SUCURI和其他WAF的真实IP网站。
在本文中,我展示了若何使用一个相当简朴的程序通过滥用DNS历史纪录绕过防火墙。此外,一个基于此剧本的服务已经添加到SuIP.biz网站:https://suip.biz/?act=bypass-waf
本文翻译自:https://miloserdov.org/?p=2960:ag区块链百家乐声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:ipfs招商(www.ipfs8.vip):若何绕过 Cloudflare, Incapsula, SUCURI 和其它的 WAFFiLecoin官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。
挚爱!