Web应用防火墙(WAF)作为现代网络安全的重要组成部分,通过监控和分析HTTP/HTTPS流量,识别和过滤恶意请求,以保护Web应用程序免受各种攻击。然而,攻击者为了绕过WAF的防护,会采用各种Payload混淆技术。列出常用的40种绕过WAF防火墙的Payload混淆技术,供参考学习。
1. HTML编码混淆
HTML编码是一种将特殊字符转换为其HTML实体表示的方法,如将<转换为<,>转换为>,"转换为"等。通过将Payload中的特殊字符转换为HTML实体,可以绕过WAF对这些字符的检测。例如,一个XSS攻击Payload<script>alert(1)</script>可以被编码为<script>alert(1)</script>。
2. URL编码混淆
URL编码(也称百分号编码)是将数据转换为可以在URL中安全传输的格式。特殊字符会被转换为ASCII值的十六进制表示,并在前面加上百分号(%)。例如,空格被编码为%20,<被编码为%3C,>被编码为%3E。攻击者可以通过URL编码来混淆Payload,使其在WAF中难以被识别。
3. 双重URL编码混淆
双重URL编码是对已经进行了一次URL编码的字符串,再进行一次URL编码。例如,字符<经过第一次URL编码后变为%3C,再进行第二次URL编码后变为%253C。这种技术使得Payload更加难以被WAF识别和解析。
4. Unicode编码混淆
Unicode编码使用特定的字符编码来表示字符,如%u0027代表单引号。通过Unicode编码,攻击者可以将Payload中的特殊字符转换为WAF难以识别的形式。
5. Base64编码混淆
Base64编码通常用于处理二进制数据,将其转换为64个可打印字符的组合。攻击者可以对Payload进行Base64编码,然后在目标服务器上解码执行。这种技术可以有效绕过WAF对二进制数据的检测。
6. XOR加密混淆
XOR加密是一种简单的加密技术,通过明文和密钥的异或运算生成密文。攻击者可以使用XOR加密对Payload进行加密,然后在目标服务器上解密执行。这种技术增加了WAF识别和检测Payload的难度。
7. 字母大小写转换混淆
某些WAF可能只过滤全大写或全小写的敏感字符。攻击者可以通过混合使用大小写字母(如将select改为SelEct)来绕过WAF的检测。
8. 空格过滤绕过
WAF通常会过滤空格字符。攻击者可以使用空白符(如%09、%0a、%0b、%0c、%0d、%a0等)或加号(+)作为空格的替代,以绕过WAF的空格过滤规则。
9. 双关键字绕过
针对WAF可能只过滤一次关键字的情况,攻击者可以将关键字拆分为两部分(如将SELECT拆分为SEL和ECT),以绕过WAF的过滤机制。
10. 内联注释绕过
在SQL注入攻击中,攻击者可以使用内联注释(如MySQL的/*!*/)来绕过WAF对特定SQL语句的检测。内联注释可以使WAF在解析SQL语句时忽略注释部分的内容。
11. 请求方式差异绕过
某些WAF可能对不同请求方式(如GET、POST、PUT等)的处理规则不一致。攻击者可以利用这一点,通过非常规的HTTP方法(如TRACE、OPTIONS等)来绕过WAF的检测。
12. 超大数据包绕过
WAF通常有数据包大小的限制,以防止大型攻击载荷。攻击者可以通过发送超大的数据包,使WAF在处理时耗尽资源或发生错误,从而绕过WAF的检测和保护机制。
13. 随机化请求绕过
攻击者可以改变请求头、Cookie、User-Agent等信息,并在每次请求时进行随机选择。这种随机化策略可以增加WAF的检测复杂度,使攻击者更具隐蔽性。
14. 分段传输绕过
分段传输是将攻击载荷分成多个小块进行传输,以混淆和绕过WAF的检测。通过分段传输,攻击者可以将Payload分散在多个请求中,使其难以被WAF识别和拦截。
15. IP伪造绕过
攻击者可以通过伪装源IP地址来绕过WAF的防御机制。通过设置任意的源IP地址,攻击者可以使WAF无法正确追踪和过滤恶意请求。
16. 利用WAF自身的缺陷
不同版本的WAF之间可能存在解析差异,攻击者可以利用这些差异来绕过WAF的检测。此外,WAF规则库中可能存在漏洞或不足,攻击者可以设计针对性的攻击载荷来绕过WAF的防护。
17. 查找真实IP绕过
攻击者可以通过域名指向云WAF地址后反向实现代理,查找相关的二级域名及同一域名注册者的其他域名解析记录,或使用快速扫描工具对全网IP进行扫描,以找到网站的真实IP,从而绕过WAF的防护。
18. 字符替换或添加注释混淆
攻击者可以在原始攻击载荷中插入无害字符或注释符号来扰乱WAF的解析规则。例如,在SQL注入Payload中添加无害的注释符号(如--),或在XSS Payload中插入无害的字符(如空格、换行符等),以绕过WAF的检测。
19. 修改请求头绕过
通过修改请求头中的信息,攻击者可以绕过一些基于请求头的WAF规则。例如,修改User-Agent字段或添加自定义请求头,使WAF认为请求是合法的。
20. 参数污染绕过
参数污染是指在URL参数中添加恶意的非法字符或多次提交相同的参数,使WAF无法正确解析请求,从而绕过防护。例如,在URL中添加多个相同的参数,或在参数值中插入非法字符,以扰乱WAF的解析过程。
21. 嵌套请求混淆
攻击者可以在一个请求中嵌套另一个请求,通过多层编码或混淆来隐藏真实的攻击载荷。例如,可以在一个JSON请求中嵌入另一个经过编码或混淆的JSON请求,当WAF解析外层请求时,内层的攻击载荷可能不会被立即检测到。
22. 使用特殊字符集
不同的字符集可能包含WAF未识别的特殊字符。攻击者可以尝试使用不同的字符集(如UTF-7、ISO-8859-1等)来编码Payload,以增加WAF解析的难度。
23. 混淆函数名或变量名
在SQL注入或远程代码执行攻击中,攻击者可以尝试使用不同的函数名或变量名来绕过WAF的关键词过滤。例如,将CONCAT替换为@@CONCAT@@或其他自定义函数名。
24. 编码转换攻击
攻击者可以将Payload转换为不同的编码格式,并在请求中混合使用多种编码。例如,将一部分Payload使用Base64编码,另一部分使用URL编码,以增加WAF解析的复杂性。
25. 利用参数截断
在某些情况下,WAF可能无法正确处理被截断的参数。攻击者可以尝试发送被截断的参数,使得WAF无法正确解析整个Payload,从而绕过检测。
26. 混淆请求参数顺序
WAF可能依赖于请求参数的特定顺序来识别攻击载荷。攻击者可以尝试改变请求参数的顺序,使WAF无法正确匹配预定义的规则集。
27. 利用WAF的延迟处理
某些WAF在处理大量请求时可能存在延迟。攻击者可以尝试在短时间内发送大量请求,使WAF处理不过来,从而可能忽略某些攻击载荷的检测。
28. 混淆内容类型
攻击者可以尝试改变请求的内容类型(如将application/x-www-form-urlencoded改为multipart/form-data),以绕过WAF对特定内容类型的检测规则。
29. 利用Cookie注入
在某些情况下,WAF可能不会检查Cookie中的值。攻击者可以尝试将攻击载荷隐藏在Cookie中,以绕过WAF的检测。
30. 利用HTTP头注入
类似于Cookie注入,攻击者也可以尝试将攻击载荷隐藏在HTTP头中(如Referer、User-Agent等),这些头信息有时可能不会被WAF仔细检查。
31. 编码嵌套与重复
攻击者可以将Payload进行多层编码,并在编码过程中重复嵌套编码步骤,使得WAF在解码过程中难以一次性还原出原始Payload,从而增加检测难度。
32. 自定义协议混淆
某些应用可能使用自定义协议进行通信。攻击者可以设计自定义协议的Payload,这些Payload在格式和内容上可能与WAF预定义的规则集不匹配,从而绕过WAF的检测。
33. 利用JSONP注入
JSONP(JSON with Padding)是一种跨域通信技术。攻击者可以尝试通过JSONP注入的方式,将攻击载荷包装在JSONP回调函数中,从而绕过WAF对跨域请求的检测。
34. 混淆请求方法
除了常见的GET和POST请求外,HTTP还定义了其他请求方法(如PUT、DELETE、PATCH等)。攻击者可以尝试使用不常见的请求方法,因为这些方法可能不在WAF的默认检测范围内。
35. 利用请求体分块传输编码(chunked transfer encoding)
在HTTP/1.1中,支持分块传输编码,允许将响应体分成多个块进行传输。攻击者可以尝试利用分块传输编码,将攻击载荷分散在多个块中,以绕过WAF的检测。
36. 混淆路径参数
在RESTful API中,路径参数通常用于指定资源。攻击者可以尝试在路径参数中插入混淆后的攻击载荷,因为这些参数可能不会被WAF仔细检查。
37. 利用HTTP/2特性
HTTP/2引入了多路复用、头部压缩等新特性。攻击者可以尝试利用这些特性来构造混淆的Payload,使得WAF难以准确解析和检测。
38. 混淆查询参数
查询参数通常用于传递附加信息给服务器。攻击者可以尝试在查询参数中插入混淆的攻击载荷,或者通过修改查询参数的格式和结构来绕过WAF的检测。
39. 利用WebSocket通信
WebSocket是一种在单个TCP连接上进行全双工通信的协议。攻击者可以尝试通过WebSocket发送混淆的攻击载荷,因为这些载荷可能不在WAF的默认检测范围内。
40. 混淆Content-Type
攻击者可以尝试修改请求的Content-Type头部,将其设置为WAF不常见或不支持的类型,从而绕过对特定类型Payload的检测。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
