在企業(yè)架構(gòu)中，安全體系同剝洋蔥一般，由外及內(nèi)是由一層層的安全產(chǎn)品和規(guī)范構(gòu)成，越處于外層承重越大，WAF 屬七層防護(hù)的第一道墻，隨著互聯(lián)網(wǎng)技術(shù)發(fā)展，業(yè)務(wù)對(duì)外提供服務(wù)的方式逐漸收攏，Web 接口與應(yīng)用壟斷流量，WAF成了安全戰(zhàn)場(chǎng)中被炮火攻擊最慘烈的前線。

一、痼疾

雖然WAF 屬于較成熟的安全產(chǎn)品，但不同公司，不同場(chǎng)景都可能衍生出不同的部署方式，一個(gè)關(guān)鍵原因就是安全、效率、成本的不可能三角，互聯(lián)網(wǎng)公司中，效率代表產(chǎn)品的易用性和響應(yīng)時(shí)間，往往很難有較大犧牲，成本和安全的組合形式?jīng)Q定了安全產(chǎn)品架構(gòu)的不同，即便在傾向選擇中安全成為首位，WAF 產(chǎn)品本身也有痼疾：HTTP 協(xié)議和業(yè)務(wù)場(chǎng)景的復(fù)雜性導(dǎo)致很難有統(tǒng)一的策略規(guī)范，加之 WAF 抽離于業(yè)務(wù)代碼邏輯以外，這些耦合上的瑕疵很容易成為繞過(guò) WAF 防護(hù)的突破口。

再者，不管是基于正則匹配還是機(jī)器學(xué)習(xí)，考量 WAF 的指標(biāo)永遠(yuǎn)是相互矛盾的：誤報(bào)率，漏報(bào)率。在安全和效率(業(yè)務(wù))的博弈中，沒(méi)有完美，只有適配，這也就決定了 WAF 的定位。

二、WAF 繞過(guò)

WAF 的痼疾在越來(lái)越復(fù)雜的系統(tǒng)對(duì)接中存在耦合缺漏，不同類(lèi)型的漏洞，在 WAF 的 Bypass 測(cè)試中關(guān)注點(diǎn)自然也不同，本文嘗試找尋一些規(guī)則對(duì)抗以外的捷徑進(jìn)行 bypass，通過(guò)以下幾個(gè)維度進(jìn)行嘗試：

• 架構(gòu)層面
• 協(xié)議/中間件層面
• 系統(tǒng)/數(shù)據(jù)庫(kù)/編程語(yǔ)言層面

1. 架構(gòu)層面

在千奇百怪的 WAF 架構(gòu)中，始終脫胎換骨于兩種基礎(chǔ)的架構(gòu)：串聯(lián)和旁路。

(1) 串聯(lián)

串聯(lián) WAF 一般權(quán)重較高，對(duì)攻擊的請(qǐng)求和會(huì)話有優(yōu)先于業(yè)務(wù)的一票否決權(quán)，是最為常見(jiàn)的 WAF 架構(gòu)方式，不過(guò)串聯(lián)接入業(yè)務(wù)意味著 WAF 系統(tǒng)會(huì)捆綁、分擔(dān)業(yè)務(wù)指標(biāo)，在日益追求高響應(yīng)的復(fù)雜鏈路中強(qiáng)行增加了一個(gè)單點(diǎn)故障隱患，那考核運(yùn)維健壯性的指標(biāo)(可用性、響應(yīng)耗時(shí)和故障率等)將是懸置 WAF 頭頂?shù)倪_(dá)摩克利斯之劍。

串聯(lián) WAF 根據(jù)產(chǎn)品形態(tài)又有多種變形，常見(jiàn)的區(qū)分方式看設(shè)備部署位置。

傳統(tǒng)的硬件盒子設(shè)備一般放置在網(wǎng)關(guān)入口后，業(yè)務(wù)中間件之前，串聯(lián)部署方式有透明模式、反向代理模式等，其前置于中間件，意味著 WAF 需預(yù)留很大一部分性能來(lái)處理 HTTP 拆解和封裝的工作，尤其是當(dāng)下 HTTPS 已成為普遍場(chǎng)景，設(shè)備處理性能急劇下降，使得此類(lèi)架構(gòu)的成本投入極大。

(2) 透明連接模式：

(3) 反向代理模式：

當(dāng)下云廠商最常用修改域名 CNAME 做多維安全防護(hù)的架構(gòu)同硬件類(lèi)部署方式在應(yīng)用場(chǎng)景視角是一致的，不過(guò)云廠商的設(shè)備和網(wǎng)絡(luò)資源豐富，人才資源配備到位，又有大廠品牌背書(shū)，只要有足夠的用戶均攤成本，這種架構(gòu)算在成本、效率、安全不可能三角中屬協(xié)調(diào)最優(yōu)的解決方案。

(4) CNAME 架構(gòu)：

對(duì)于此類(lèi)前置串聯(lián)架構(gòu)的 ByPass 測(cè)試需找尋 WAF 與中間件、后端業(yè)務(wù)間的耦合性缺漏，比如：

• 在使用了 SSL 套接字的會(huì)話中，協(xié)商加密算法屬請(qǐng)求方可控，WAF 和后端業(yè)務(wù)在算法支持上可能存在差異的一個(gè)切入點(diǎn)，遍歷后端業(yè)務(wù)支持但 WAF 不支持的加密算法，便可直接繞過(guò) WAF 了，相關(guān)工具見(jiàn) Github：https://github.com/LandGrey/abuse-ssl-bypass-waf

SSL Bypass

• 針對(duì) CNAME 方式接入 WAF 的系統(tǒng)，能否繞過(guò)的關(guān)鍵在于后端的業(yè)務(wù)配置是否嚴(yán)謹(jǐn)，如果后端業(yè)務(wù)未限制訪問(wèn)源，很容易通過(guò)域名解析歷史和 [ 大規(guī)模的掃描 ] 定位到真實(shí)的 IP 地址，修改本地 HOST 便可以繞過(guò) WAF 直接對(duì)后端系統(tǒng)進(jìn)行攻擊;
• WAF 與中間件的耦合缺漏在后續(xù)的中間件層面做詳細(xì)講解，此處不做贅述。

還有另一類(lèi)串聯(lián)的部署方式，即 WAF 設(shè)備位置后移，嵌套到中間件上，這樣 WAF 的損耗將分?jǐn)偟綐I(yè)務(wù)機(jī)器，這樣的捆綁意味著一榮俱榮，一損皆損，又因位置后移到了業(yè)務(wù)側(cè)，策略下發(fā)和管理都極其復(fù)雜，且中間件種類(lèi)繁多，規(guī)模一大，這種架構(gòu)堪稱災(zāi)難，而隨著業(yè)務(wù)架構(gòu)的逐漸優(yōu)化，一般的互聯(lián)網(wǎng)業(yè)務(wù)架構(gòu)會(huì)前置越來(lái)越輕的轉(zhuǎn)發(fā)層，將 WAF 嵌到轉(zhuǎn)發(fā)層，或在轉(zhuǎn)發(fā)層通過(guò) openresty 等方式將請(qǐng)求過(guò)一遍旁掛的 WAF 集群，這屬對(duì)業(yè)務(wù)鏈路侵入最輕的一種方式，很多互聯(lián)網(wǎng)公司自建的 WAF 采用該架構(gòu)。

(5) 中間件部署：

(6) OpenResty 部署：

對(duì)于此類(lèi)嵌套于中間件的 WAF 架構(gòu)測(cè)試需針對(duì) WAF 模塊的系統(tǒng)耗能和超時(shí)為切入點(diǎn)，當(dāng)中間件或 WAF 模塊達(dá)到一定的性能損耗指標(biāo)，一般 WAF 系統(tǒng)會(huì)預(yù)留類(lèi)似硬件設(shè)備斷電 bypass 的功能來(lái)保障業(yè)務(wù)可用性的強(qiáng)指標(biāo)，通過(guò)這種途徑即可突破 WAF，比如：

• 針對(duì)中間件本身的漏洞(例如: CVE-2018-1336 )/配置錯(cuò)誤來(lái)觸發(fā) DOS，當(dāng)系統(tǒng)能耗達(dá)到閾值，自動(dòng)關(guān)閉 WAF 模塊;
• 針對(duì) WAF 系統(tǒng)的正則策略進(jìn)行攻擊，通過(guò) ReDoS：https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS

使策略檢測(cè)超時(shí)，單條會(huì)話跳過(guò) WAF 集群響應(yīng)，直接通聯(lián)后端業(yè)務(wù)。

(7) 旁路

旁掛 WAF 一般不在會(huì)話鏈路以內(nèi)，這意味著針對(duì)命令執(zhí)行、Getshell 類(lèi)的一條語(yǔ)句拿權(quán)限的攻擊束手無(wú)策，滿足業(yè)務(wù)性能，犧牲了較多的安全指標(biāo)，做出這種妥協(xié)，一方面是業(yè)務(wù)/運(yùn)維強(qiáng)勢(shì)，可用性是相關(guān)部門(mén)較重的 KPI 指標(biāo)，另一方面可能是 WAF 系統(tǒng)開(kāi)發(fā)和運(yùn)營(yíng)人力資源緊張，旁路離線分析提供了一定的緩和空間。

旁路 WAF 可以理解為一套離線分析系統(tǒng)，在各類(lèi)配置和參數(shù)設(shè)置上很難同業(yè)務(wù)機(jī)器同步，這導(dǎo)致兩者之間的耦合缺漏會(huì)更大，且旁路部署的后置阻斷措施也極具多樣性：IP 維度(4 層封禁、7 封封禁)，session 維度(業(yè)務(wù)路由基于登陸的 cookies 等)，給繞過(guò)也提供了一些方法，常見(jiàn)的繞過(guò)方法有：

• 若系統(tǒng)是通過(guò)分光等方式旁掛，那針對(duì)前置串聯(lián) WAF 的 SSL 證書(shū)繞過(guò)方法在這里一樣通用;
• 通過(guò)攻擊測(cè)試，很容易判斷出旁路 WAF 同阻斷組件的通聯(lián)時(shí)間，獲取海量且廉價(jià)的代理 IP，控制好單 IP 的測(cè)試存活時(shí)間，較低成本便可繞過(guò);
• 針對(duì)異常協(xié)議和中間件特效的攻擊將在后續(xù)章節(jié)講述，在旁掛 WAF 上均可實(shí)現(xiàn)繞過(guò)。

WAF 產(chǎn)品架構(gòu)多樣，除了串聯(lián)和旁路外，基于業(yè)務(wù)特性還有各種各樣的組合方式，之前所在公司基于業(yè)務(wù)架構(gòu)單一的特點(diǎn)(系統(tǒng)、語(yǔ)言、中間件、數(shù)據(jù)庫(kù)版本等相關(guān)信息全局一致)，只需要關(guān)注固定版本的系統(tǒng)/應(yīng)用漏洞情報(bào)，便可采用平日旁掛，漏洞爆發(fā)打開(kāi)串聯(lián)開(kāi)關(guān)，漏洞批量修復(fù)后恢復(fù)旁掛的方式，在安全、效率、成本的博弈中發(fā)揮一點(diǎn)能動(dòng)性。

2. 協(xié)議/中間件層面

HTTP 協(xié)議是一個(gè)漸進(jìn)工程。

處于尚未完結(jié)的漸進(jìn)工程中，強(qiáng)制的向下兼容，加之各類(lèi)中間件對(duì)協(xié)議的解讀和實(shí)現(xiàn)花樣百出，導(dǎo)致整個(gè)協(xié)議骨干健壯清晰，細(xì)枝末節(jié)處卻錯(cuò)綜繁雜，越是復(fù)雜有異議的地方，越是存在安全隱患。

如《Web 之困》書(shū)中所描述，協(xié)議版本的升級(jí)，大多數(shù)精力都投入到了新花樣和動(dòng)人功能的開(kāi)發(fā)上，缺陷的修補(bǔ)向來(lái)是不受人待見(jiàn)的，而協(xié)議側(cè)的缺陷卻往往是致命的。

DEFCON 24 會(huì)議上，regilero 有一篇名為《Hiding Wookiees In Http》的演講，詳細(xì)分析了 HTTP 協(xié)議中 Keepalives 和 Pipelines 組合使用上的缺漏，可導(dǎo)致會(huì)話注入和緩存投毒，在 WAF 繞過(guò)上也提供了一條路徑。

Keepalives 雖然在 HTTP1.0 版本便可以使用，但并沒(méi)有得到官方的確認(rèn)，是瀏覽器爆炸發(fā)展階段的民間戰(zhàn)勝官方的勝利，HTTP1.1 版本后才開(kāi)始作為默認(rèn)參數(shù)參與到請(qǐng)求中，這條參數(shù)也屬于新版本令人心動(dòng)的嶄新功能，引入的原因也是為了解決請(qǐng)求量級(jí)斗升，新建立連接帶來(lái)的系統(tǒng)和網(wǎng)絡(luò)損耗，功能大致如下所示：

(1) HTTP Pipeline:

(2) HTTP KeepAlive：

(3) HTTP 1.0：

功能設(shè)計(jì)本身的意圖是多請(qǐng)求單連接，但‘多請(qǐng)求’這個(gè)場(chǎng)景又有多般演繹，比如下圖這種請(qǐng)求，在 WAF 端的識(shí)別上，這屬于一個(gè)請(qǐng)求，邏輯也是通過(guò)拆解 Key、value 的模式以 Body 內(nèi)容讀取第二個(gè)請(qǐng)求的內(nèi)容，當(dāng)然是屬于異常的 Key-Value 結(jié)構(gòu)，這樣第二個(gè)包的內(nèi)容便很容易繞過(guò) WAF 策略直接進(jìn)行攻擊了。

(4) Keeplive 繞過(guò)：

關(guān)于 HTTP 協(xié)議特性的安全缺陷，還有一個(gè)值得說(shuō)道的漏洞，2011 年 BlackHat 大會(huì)有一篇名為《Checkmate with Denial of Service》的演講，闡述了一系列 DOS 漏洞，其中有部分是關(guān)于 HTTP 慢速攻擊的分析，此后漫長(zhǎng)的一段時(shí)間中，slowloris 都是諸多大型 DDOS 事件中的主角，關(guān)于慢速 DOS 的原理其實(shí)就是利用了 HTTP 的特性，通過(guò) Keepalives 特性，發(fā)起大量請(qǐng)求，修改 Content-Length，Hold 住會(huì)話，在超時(shí)前定期發(fā)送小包，保持存活狀態(tài)，使服務(wù)端線程數(shù)打滿，又不得釋放，服務(wù)便處于不可用狀態(tài)，這種攻擊在前文所述的針對(duì)中間件的 DOS 中不失為一種有效的攻擊繞過(guò)方式。

除了協(xié)議特性以外，異變的 HTTP header 也有可能提供繞過(guò) WAF 的捷徑，2018 年的 AppSec 大會(huì)上，有一篇《hacker WAF bypass techniques》的演講，通過(guò)以下幾個(gè)方式進(jìn)行 WAF 繞過(guò)：

• 字符集編碼;Content-Type 頭中使用 charset 定義字符集的應(yīng)用場(chǎng)景不只有在 responses 中，request 中同樣可以使用，而變換字符編碼集以后，基于規(guī)則引擎的 WAF 則徹底失控。





• 內(nèi)容類(lèi)型格式;在特定中間件版本下 Key-value 可以通過(guò)文件上傳的類(lèi)型 multipart/form-data 進(jìn)行提交，而 WAF 針對(duì)此類(lèi)型側(cè)檢測(cè)一般是只針對(duì)上傳漏洞，導(dǎo)致常規(guī)的 xss、sqli 便可以通過(guò)該方式進(jìn)行 bypass，即使存在各通用類(lèi)型的漏洞檢測(cè)，也可通過(guò) Fuzz 異變上傳類(lèi)型的格式，達(dá)到 WAF 無(wú)法識(shí)別，后端中間件可以解析的目的：

當(dāng)然以上 Bypass 的路徑并非通用的，很大情況與不同中間件對(duì) HTTP 的理解和運(yùn)用有關(guān)，詳細(xì)中間件系統(tǒng)和版本測(cè)試情況可參見(jiàn)表格：

https://drive.google.com/file/d/0B5Tqp73kQStQU1diV1Y0dzd1QU0/view

基于協(xié)議/中間件的安全缺陷并不全然是功能帶來(lái)的，有時(shí)帶業(yè)務(wù)特性的配置也會(huì)有缺漏，且這種缺漏是前端 WAF 和后端業(yè)務(wù)中間件功能差異所必然存在的，也是大多數(shù)通用 WAF 產(chǎn)品很難和業(yè)務(wù)適配的死角，突出的例子如：

請(qǐng)求包大小限制;很多后端業(yè)務(wù)存在上傳功能，所以請(qǐng)求數(shù)據(jù)限制上往往會(huì)較大，而前置 WAF 系統(tǒng)，需要有較高的響應(yīng)時(shí)間，請(qǐng)求包較大時(shí)往往超過(guò)內(nèi)置的性能和耗時(shí)閾值，所以可直接發(fā)送大量無(wú)意義的參數(shù)，尾端帶攻擊參數(shù)便可直接繞過(guò) WAF 系統(tǒng)。

3. 系統(tǒng)/數(shù)據(jù)庫(kù)/編程語(yǔ)言層面

系統(tǒng)、數(shù)據(jù)庫(kù)和編程語(yǔ)言層面，屬于對(duì)抗 WAF 策略的正面戰(zhàn)場(chǎng)，這類(lèi)文章網(wǎng)上佳作不勝枚舉，但其達(dá)成繞過(guò)的功效并不具通用性，比如系統(tǒng)級(jí)別的繞過(guò)可能?chē)@命令執(zhí)行、LFI 之類(lèi)的漏洞，數(shù)據(jù)庫(kù)相關(guān)的繞過(guò)是圍繞 Sqli 類(lèi)漏洞，且兩者的繞過(guò)思路大致相同，即利用系統(tǒng)/數(shù)據(jù)庫(kù)特性或不常用函數(shù)繞過(guò) WAF 策略特征，至于編程語(yǔ)言的繞過(guò)方式則相對(duì)靈活，這也是動(dòng)態(tài)語(yǔ)言的特性決定的，本文主旨是 WAF 繞過(guò)的捷徑，正面對(duì)抗策略內(nèi)容便不多做贅述(正面硬剛 WAF 規(guī)則也有成熟工具，詳細(xì)內(nèi)容參見(jiàn)參考文檔中 2016 blackhat 大會(huì)上的《Another Brick off The Wall: Deconstructing Web Application Firewalls Using Automata Learning》一文)，每個(gè)類(lèi)型各介紹一類(lèi)比較有代表性的 Bypass 方法：

• 系統(tǒng)層面，利用 Linux 通配符特性繞過(guò) WAF 策略;在 bash 語(yǔ)法中，可以使用與系統(tǒng)文件相同數(shù)量的 "?", "/" 來(lái)匹配該文件;用未初始化的變量隔離特征字符;用 ' 字符拆解再拼貼，繞過(guò)字符匹配。







• 數(shù)據(jù)庫(kù)層面，利用 mysql 注釋和注釋特性繞過(guò) WAF 策略;在 ModSecurity (最常見(jiàn)的開(kāi)源 WAF 框架)默認(rèn)策略中，union select 這類(lèi) Sqli 注入語(yǔ)法一般是貪婪匹配 union 和 select 之間的字符、數(shù)字、下劃線、左括號(hào)，很容易通過(guò)插入 /* */注釋繞過(guò);當(dāng)變更規(guī)則過(guò)濾掉注釋?zhuān)廊豢梢酝ㄟ^(guò)在注釋中使用 ! 加版本號(hào)包裹關(guān)鍵詞來(lái)繞過(guò)檢測(cè)，因?yàn)橹灰? mysql 的當(dāng)前版本等于或大于該版本號(hào)，則該注釋中的 sql 語(yǔ)句將被 mysql 執(zhí)行;





• 編程語(yǔ)言層面，利用 PHP 數(shù)組特性繞過(guò) WAF 策略;在 PHP 中每個(gè)字符串都可以當(dāng)作數(shù)組，這樣基于字符串的正則匹配就很容易被繞過(guò)了。

限于文章篇幅，簡(jiǎn)單描述了 WAF Bypass 測(cè)試的整體框架，相當(dāng)一部分繞過(guò)方法未能展示，由于議題寬泛，時(shí)間緊迫，故倉(cāng)促收尾，算理清框架脈絡(luò)，避免后來(lái)者按圖索驥的浪費(fèi)時(shí)間。

參考文檔

• Abuse-ssl-bypass-waf：https://github.com/LandGrey/abuse-ssl-bypass-waf
• Bypassing Web-Application Firewalls by abusing SSL/TLS：https://0x09al.github.io/waf/bypass/ssl/2018/07/02/web-application-firewall-bypass.html
• WAF Bypass Techniques - Using HTTP Standard and Web Servers’ Behaviour：https://www.slideshare.net/SoroushDalili/waf-bypass-techniques-using-http-standard-and-web-servers-behaviour

基于 Openresty 的云 WAF 工作原理：

• https://www.yqfy.net/base-on-openresty-waf
• Regular expression Denial of Service - ReDoS：https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS

《Web之困》：

• https://book.douban.com/subject/25733421/
• DEFCON 24 《Hiding Wookiees In Http》：https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Regilero-Hiding-Wookiees-In-Http.pdf
• Checkmate with Denial of Service：https://media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
• Web Application Firewall (WAF) Evasion Techniques：https://medium.com/secjuice/waf-evasion-techniques-718026d693d8
• Web Application Firewall (WAF) Evasion Techniques #2：https://medium.com/secjuice/web-application-firewall-waf-evasion-techniques-2-125995f3e7b0
• Web Application Firewall (WAF) Evasion Techniques #3：https://www.secjuice.com/web-application-firewall-waf-evasion/
• Another Brick off The Wall: Deconstructing Web Application Firewalls Using Automata Learning：https://www.blackhat.com/docs/eu-16/materials/eu-16-Argyros-Another-Brick-Off-The-Wall-Deconstructing-Web-Application-Firewalls-Using-Automata-Learning.pdf