WAF详解_waf规则库

Web应用防护系统（也称为：网站应用级入侵防御系统。文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

常见的WAF分类

WAF分为4类：
云WAF类、硬件WAF类、软件WAF类、网站内置WAF类

云waf：

安全宝创宇盾、玄武盾、腾讯云、百度云、西部数码、阿里云盾、奇安信网
站卫士

软件WAF

D盾：http://www.d99net.net/
云锁：https://yunsuo.qianxin.com/
网防：http://www.weishi110.cn/static/index.html
安全狗：https://www.safedog.cn/
护卫神：https://www.hws.com/
智创：https://www.zcnt.com/
悬镜：https://www.xmirror.cn/
UPUPW：https://www.upupw.net/
WTS-WAF：https://www.west.cn/
安骑士：https://help.aliyun.com/product/28449.html
dotDefender：http://www.applicure.com/Products/

硬件WAF

绿盟：https://www.nsfocus.com.cn/
安恒：https://www.dbappsecurity.com.cn/
铱(yi)迅：https://www.yxlink.com/
天融信
深信服
启明星辰
知道创宇
F5 BIG-IP：https://www.f5.com/

网站内置WAF

在搭建网站的时候，有很多企业会选择自己写过滤的规则。那么这种绕过的姿势就需要根据网站的过滤规则来尝试了

WAF比较常见的监测机制特点有以下几种

（1）异常检测协议：拒绝不符合HTTP标准的请求，也可以只允许符合HTTP协议的部分选项通过，也有一些web应
用防火墙还可以限定http协议中那些过于松散或未被完全制定的选项。
（2）增强输入验证：增强输入验证，对恶意字符进行拦截。
（3）及时补丁：及时屏蔽掉新型漏洞，避免攻击者进行攻击，主要依靠WAF厂商对新型漏洞的及时响应速度
（4）基于规则的保护和基于异常的保护：基于规则的保护可以提供各种web应用的安全规则，waf生产商会维
护这个规则库，并及时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用
数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到
（5）状态管理；能够判断用户是否是第一次访问，将请求重定向到默认登录页面并且记录事件，或对暴力破解
行为进行拦截。
（6）其他防护技术：如隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。
（7）配置规则：可以自定义防护的规则，如是否允许“境外ip”的访问

WAF的识别

WAF绕过不仅要了解WAF检查的原理，还需要识别是什么类型的WAF，不同类型，不同品牌的waf监测机制不一样，绕过的方式也不同。

Nmap ：

Nmap识别waf命令 nmap -p 80 --script http-waf-fingerprint www.xxx.com 或者nmap -p 80 --script http-waf- detect.nse www.xxx.com

Wafw00f

这款工具可以识别很多厂家的web防火墙

wafw00f的使用：

1.查看wafw00f支持检测的WAF类型:wafw00f -l
1

2.查看帮助信息wafw00f -h
3.测试单个url wafw00f ip(或网址)存在waf的话就会显示