AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

X-WAF简单测试体验

2017-08-27 2279
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
推荐场景:
阿里云WAAP安全再获技术&市场双认可
简介: X-WAF 最近才关注到的一款云WAF,花了一些时间搭建了一个环境,并做了一些测试,感觉比较适合新手来练习WAF Bypass。 X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。

 X-WAF

最近才关注到的一款云WAF,花了一些时间搭建了一个环境,并做了一些测试,感觉比较适合新手来练习WAF Bypass。

X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。

官网:https://waf.xsec.io/

源码:https://github.com/xsec-lab

安装部署

系统版本:Centos6.5 x86_64

1、openresty的配置

yum -y install pcre pcre-devel
wget https://openresty.org/download/openresty-1.9.15.1.tar.gz
tar -zxvf openresty-1.9.15.1.tar.gz 
cd openresty-1.9.15.1
./configure 
gmake && gmake install

2、X-WAF

将x-waf的代码目录放置到openresty的/usr/local/openresty/nginx/conf目录下,然后在openresty的conf的目录下新建vhosts目录

cd /usr/local/openresty/nginx/conf/
git clone https://github.com/xsec-lab/x-waf
mkdir -p /usr/local/openresty/nginx/conf/vhosts

3、配置nginx

将x-waf/nginx_conf/nginx.conf 复制到nginx/conf目录下进行覆盖。

cp /usr/local/openresty/nginx/conf/x-waf/nginx_conf/nginx.conf  /usr/local/openresty/nginx/conf/nginx.conf
/usr/local/openresty/nginx/sbin/nginx  -t
nginx: the configuration file /usr/local/openresty/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/openresty/nginx/conf/nginx.conf test is successful
/usr/local/openresty/nginx/sbin/nginx

设置反向代理: 

location /test/{

  proxy_pass http://192.168.8.158/;

}

4、x-waf-admin安装

直接从github中下载对应操作系统的二进制版本 https://github.com/xsec-lab/x-waf-admin/releases,上传到tmp目录

tar -zxvf x-waf-admin0.1-linux-amd64.tar.gz
cd x-waf-admin
cd conf
vi app.ini  //配置mysql账号密码
cd ..
./server

5、登录x-admin

管理地址为:http://ip:5000/login/

管理后台的默认的账户及口令分别为:admin,x@xsec.io

 WAF Bypass

先熟悉一下检测流程,x-waf目录的waf.lua,程序入口:

从中我们可以看到,通过if语句进行检测,单一的程序入口,一旦满足条件就不再进行检测。

1、利用白名单

在x-waf/rules中,默认存在着白名单和黑名单,默认都有ip:8.8.8.8

从上面的检测流程可以看出,一旦满足白名单就不再进行检测,从而绕过。我们可以伪造X-Real-IP:8.8.8.8

2、绕过正则

  rule中比较关键的两个正则如下:

(?:(union(.*?)select))
select.+(from|limit)

,.*? 是一个固定的搭配,.和*代表可以匹配任意无限多个字符,加上?表示使用非贪婪模式进行匹配,也就是会尽可能短地做匹配

点号(.)  匹配任意除换行符"\n"外的字符,可以尝试通过%0a来绕过正则。

 3、大小写可绕过 

 

4、其他绕过方式

如:宽字节、%特性、%u特性(asp/aspx+IIS)等

宽字节绕过:

POST:id=1 uю%69яю select  1,null,system_user цRяэ admin

 %特性

 END

   防御规则还有待加强,绕过的方式肯定还有不少,这边只测试了一下IIS+ASP/ASPX+MSSQL的环境,Apache+php+mysql有待测试,有空再来试试吧。

  x-waf 官网的介绍还是感觉很不错的,使用指南也很清晰,整体部署体验还不错,X-admin的web界面很简洁,配置起来还是挺方便的。

 

文章标签:
Web应用防火墙
应用服务中间件
nginx
.NET
开发工具
关系型数据库
MySQL
git
开发框架
关键词:
Web应用防火墙测试
bypass
目录
相关文章
@北鲲
|
SQL 安全 关系型数据库
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞,品相还不错,可执行任意 SQL 语句。 总之,吃了一惊,一个防 SQL 注入的工具居然也有 SQL 注入漏洞。 请看这段代码
@北鲲
691 99
sunrr
|
机器学习/深度学习 安全 算法
WAF测试
【7月更文挑战第25天】 WAF测试
sunrr
628 9
dasein58
|
存储 SQL 安全
技术分享:从甲方的角度谈谈WAF测试方法
  0X01 测试思路   环境搭建   服务器:使用DVWA搭建一套包含各类漏洞的网站,并开启access日志以供分析。DVWA搭建过程不细说。   WAF:反向代理部署,将DVWA服务器做反向代理后映射出VS IP。测试时所有payload发送至VS IP,经WAF处理后交给DVWA服务器。   测试方法:客户端构造payload提交给VS IP,服务器查看access日志。如被有效识别并过滤,access日志应没有相关内容。
dasein58
505 0
技术小胖子
|
监控 测试技术 应用服务中间件
nginx_lua_waf安装测试
技术小胖子
1621 0
枫凡
|
弹性计算 应用服务中间件 网络安全
WAF/高防-高速通道跨地域回源测试
测试场景 用户的源站在海外,但是客户群体在国内。通过高速通道跳转回源。 使用华东1的VPC模拟国内,使用华东2的VPC模拟海外的,服务端为真实的源站。 即: client->华东1vpc->华东2VPC->源站服务器 部署为http服务。
枫凡
3334 0
bypass
|
应用服务中间件 nginx 网络安全
nginx_lua_waf 部署、测试记录
ngx_lua_waf ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙 源码:https://github.com/loveshell/ngx_lua_waf 安装部署 系统版本:Centos6.
bypass
1816 0
cnbird
|
安全
安全宝WAF测试站点
http://secaqb.anquanbao.org/
cnbird
1521 0
cnbird
wAF绕过测试
https://github.com/ironbee/waf-research
cnbird
939 0
cnbird
|
测试技术 网络安全
OWASP 2012中国峰会5吴卓群:应用防火墙(WAF)绕过测试技术
http://v.youku.com/v_show/id_XNDc0MzU5Njc2.html
cnbird
829 0
cnbird
|
测试技术
waf 绕过测试工具
https://github.com/ironbee/waf-research http://www.
cnbird
889 0