信息收集(五)
目录
CDN指纹识别
CDN指纹识别思路
如何获取CDN背后的真实IP
1、超级ping2、历史DNS3、通过子域名查询IP4、国外主机解析5、其他
具体的操作在之前的文章里已经写过了,这里就不再重复提及了。
CDN指纹识别工具
常规手段
pingnslookup超级pingldb(load balance detector)
专用工具
WAF指纹识别
什么是WAF
在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。本文主要从绕过WAF过程中需要注意的角色和点出发,尝试理解它们的运作,构建一个简单的知识框架。
首先,WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面,而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、扫操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。
WAF的工作原理
WAF(Web Application Firewall) 可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。WAF针对的是应用层而非网络层的入侵,从技术角度应该称之为Web IPS。
WAF的主要难点是对入侵的检测能力,尤其是对Web服务入侵的检测,WAF最大的挑战是识别率。对于已知的攻击方式,可以谈识别率,但是对于未知的攻击手段,WAF是检测不到的。
基于规则库匹配的WAF
目前市面上大多数的WAF都是基于规则的WAF。即WAF对接数据收到的包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个恶意代码,从而对于进行阻断。所以,对于基于规则匹配的WAF,需要每天都及时更新最新的漏洞库。
对于这种WAF,它的工作过程是这样的:解析HTTP请求——>匹配规则——>防御动作——>记录日志
具体实现如下:
1. 解析http请求:协议解析模块
2. 匹配规则:规则检测模块,匹配规则库
3. 防御动作:return 403 或者跳转到自定义界面,或者不返回任何数据,或者拉黑IP
4. 日志记录:记录到elk中
WAF的作用
- l SQL Injection (SQLi):阻止SQL注入
- l Cross Site Scripting (XSS):阻止跨站脚本攻击
- l Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
- l Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
- l Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
- l PHP Code Injectiod:阻止PHP代码注入
- l HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
- l HTTPoxy:阻止利用远程代理感染漏洞进行攻击
- l Sshllshock:阻止利用Shellshock漏洞进行攻击
- l Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
- l Scanner Detection:阻止黑客扫描网站
- l Metadata/Error Leakages:阻止源代码/错误信息泄露
- l Project Honey Pot Blacklist:蜜罐项目黑名单
- l GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断
WAF分类
- l 硬件型 WAF(厂商安装)
- l 云 WAF(阿里云、腾讯云、华为云……)
- l 软件型 WAF(部署在 Apache、Nginx 等 HTTP Server 中)
常见WAF厂商
各种云:阿里云、腾讯云、华为云、百度云……安全狗、宝塔、360、知道创宇、长亭、安恒……
宝塔 :
安全狗:
腾讯云 :
阿里云:
WAF指纹识别思路
识别思路
额外的cookie;任何响应或请求的附加标头;响应内容(如果被阻止请求);响应代码(如果被阻止请求);IP地址(云WAF);JS客户端模块(客户端WAF)
指纹库
WAF指纹识别工具
工具
wafw00f https://www.12306.cn
