WAF指纹探测及识别技术(1)

Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web
Application Firewall,简称: WAF)。利用国际上公认的一种说法:
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的
一款产品。本文介绍了常见的WAF指纹识别的一些技术,详见如下:一、WAF指纹Cookie值Citrix Netscaler“Citrix Netscaler”会在HTTP返回头部Cookie位置加入“ns_af”的值,可以以此判断为Citrix Netscaler的WAF,国内此类WAF很少(这货居然是searchsecurity认定的2013
最好的防火墙)。一个恶意的请求示例:GET / HTTP/1.1Host: target.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-
Language: en-US,en;q=
0.5Accept-Encoding: gzip, deflateCookie: ASPSESSIONIDAQQSDCSC=HGJHINLDNMNFHABGPPBNGFKC; ns_af=31+LrS3EeEOBbxBV7AWDFIEhrn8A000;ns_af_.target.br_%2F_wat=QVNQU0VTU0lPTklEQVFRU0RDU0Nf?6IgJizHRbTRNuNoOpbBOiKRET2gA&Connection: keep-aliveCache-Control: max-age=0F5 BIG IP ASMF5 BiG IP ASM会在Cookie中加入“TS+随机字符串”的Cookie信息,一个非恶意的请求如下:GET / HTTP/1.1Host: www.target.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateCookie: target_cem_tl=40FC2190D3B2D4E60AB22C0F9EF155D5; s_fid=77F8544DA30373AC-31AE8C79E13D7394; s_vnum=1388516400627%26vn%3D1; s_nr=1385938565978-New; s_nr2=1385938565979-New; s_lv=1385938565980; s_vi=[CS]v1|294DCEC0051D2761-40000143E003E9DC[CE]; fe_typo_user=7a64cc46ca253f9889675f9b9b79eb66; TSe3b54b=36f2896d9de8a61cf27aea24f35f8ee1abd1a43de557a25c529fe828; TS65374d=041365b3e678cba0e338668580430c26abd1a43de557a25c529fe8285a5ab5a8e5d0f299Connection: keep-aliveCache-Control: max-age=0HTTP响应Mod_SecurityMod_Security是为Apache设计的开源Web防护模块,一个恶意的请求Mod_Security会在响应头返回“406 Not acceptable”的信息。请求:GET /<script>alert(1);</script>HTTP/1.1Host: www.target.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-alive响应:HTTP/1.1 406 Not AcceptableDate: Thu, 05 Dec 2013 03:33:03 GMTServer: ApacheContent-Length: 226Keep-Alive: timeout=10, max=30Connection: Keep-AliveContent-Type: text/html; charset=iso-8859-1<head><title>Not Acceptable!</title></head><body><h1>Not Acceptable!</h1><p>An appropriate representation of the requested resource could not be found on this server. This error was generated by Mod_Security.</p></body></html>WebKnightWebKnight是用来设计在IIS下面使用的WAF设备,较为常见。WebKnight会对恶意的请求返回“999 No Hacking”的信息。请求:GET /?
PageID=99<script>alert(1);</script>HTTP/1.1Host: www.aqtronix.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-alive响应:HTTP/1.1 999 No HackingServer: WWW Server/1.1Date: Thu, 05 Dec 2013 03:14:23 GMTContent-Type: text/html; charset=windows-1252Content-Length: 1160Pragma: no-cacheCache-control: no-cacheExpires: Thu, 05 Dec 2013 03:14:23 GMTF5 BIG IPF5 BIG IP会对恶意请求返回“419 Unknown”的信息,如下:GET /<script> HTTP/1.0HTTP/1.1 419 UnknownCache-Control: no-cacheContent-Type: text/html; charset=iso-8859-15Pragma: no-cacheContent-Length: 8140Date: Mon, 25 Nov 2013 15:22:44 GMTConnection: keep-aliveVary: Accept-EncodingdotDefenderdotDefender用来防护.net的程序,也比较出名,会对恶意请求返回“dotDefender Blocked Your Request”的信息。请求:GET /---HTTP/1.1Host: www.acc.comUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-aliveCache-Control: max-age=0响应:HTTP/1.1 200 OKCache-Control: no-cacheContent-Type: text/htmlVary: Accept-EncodingServer: Microsoft-IIS/7.5X-Powered-By: ASP.NETDate: Thu, 05 Dec 2013 03:40:14 GMTContent-Length: 2616<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Frameset//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-frameset.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><title>dotDefender Blocked Your Request</title>特定资源文件部分特定WAF在返回的告警页面含特定的CSS或者JS文件,可以作为判断的依据,这类情况在WAF类里比较少,实际也可以归并到HTTP响应中。看2个样例:<html><bodystyle="margin:0;padding:0"><center><iframew
idth="100%"align="center"height="870"frameborder="0"scrolling="no"src="http://safe.webscan.360.cn/stopattack.html"></iframe></center></body></html>HTTP/1.1405NotAllowedServer:ASERVER/1.2.9-3Date:Fri,27Dec201314:15:14GMTContent-Type:text/htmlConnection:keep-aliveX-Powered-By-Anquanbao:MISSfromuni-tj-ky-sb3Content-Length:7188<divclass="wrapper"><divclass="titlelogo"></div><divclass="err_tips">由于您访问的URL有可能对网站造成安全威胁,您的访问被阻断。</div><divclass="feedback"><formaction="http://report.anquanbao.com/api.php"method="post"><inputtype="hidden"name="black_code"value=""class="hidden_rule_id"/><inputtype="hidden"name="deny_time"value=""class="hidden_intercept_time"/><inputtype="hidden"name="server_id"value=""class="hidden_server_title"/><inputtype="hidden"name="deny_url"value=""class="deny_url"/><inputtype="submit"class="submit_img"value=""/></form></div><divclass="detailcontent"><divclass="detailupimg"><ahref="javascript:;">站长点击查看详情</a></div><divclass="detaildownimg"><ahref="javascript:;">站长点击查看详情</a></div><divclass="hiddeninfo">规则ID:<spanclass="rule_id">10384</span><spanstyle="margin-left:20px">拦截时间:</span><spanclass="intercept_time">2013/12/2722:15:14</span><divclass="hiddeninfosecond"><spanstyle="padding-top:20px">ServerName:</span><spanclass="server_title"style="padding-top:20px">uni-tj-ky-sb3/1.2.9-3</span></div><divclass="hiddeninfothird"> 1 2 下一页>>查看全文 内容导航第 1 页:WAF指纹 第 2 页:WAF识别工具 原文:WAF指纹探测及识别技术(1) 返回网络安全首页

时间: 2024-10-30 11:13:56

WAF指纹探测及识别技术(1)的相关文章

XSS现代WAF规则探测及绕过技术(1)

初始测试1.使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等:2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应:3.尝试以下的payload<script> alert(1);</script><script>prompt(1);</script><script>

XSS现代WAF规则探测及绕过技术

初始测试 1.使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等: 2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应: 3.尝试以下的payload <script>alert(1);</script> <script>prompt(1);</script> <scri

人脸识别技术,将电影变成现实

   前两天看电影<变脸>的时候,发现里面的"人脸识别"技术特眼熟.想起<宇宙威龙>.<碟中谍>1.2这些外国电影一般展现骇客们电脑手段高超的时候,都会用到这个场景,把观众迷得晕晕乎乎的,觉得这个技术NB得不行.在科技变幻莫测的今天,套用李宁的一句广告词:一切皆有可能.让你见识一下现实版的"人脸识别"技术.      本月21号,汉王科技高调发布了他的第二代人脸识考勤机.先来说说什么是人脸识别.人脸识别其实是生物识别的一种.生物识

刷脸和指纹识别out啦,这些公司正在用静脉识别技术颠覆金融业

大数据文摘作品 作者:Kate 编译:吴蕾,行者,任杰 日前,生物识别技术越来越受欢迎,日益成为全球金融服务行业的宠儿. 据估计,到2021年,生物识别市场有望达到300亿美元的价值.而且,该技术可能是目前最便捷的方法,因为可以为用户省去记住数字,代码或密码的烦恼. 为了利用这项技术,部分银行已经开始尝试对之进行测试,当然日前仅局限在少数用户和特定市场.或许过不了多久,生物识别技术将会成为身份认证的主流形式,复杂密码形式将一去不复返. 当前,在市场上,还活跃着一些其他主流方法,如指纹识别.这些方

高通发布指纹识别技术Snapdragon Sense ID

摘要: 本周一,在巴萨罗那举行的MWC上,高通发布了自己的指纹识别技术Snapdragon Sense ID.与我们在高端智能手机上常见的电容触摸板不同的是,这种指纹识别技术采用的是超声波来扫描指纹, 本周一,在巴萨罗那举行的MWC上,高通发布了自己的指纹识别技术Snapdragon Sense ID.与我们在高端智能手机上常见的电容触摸板不同的是,这种指纹识别技术采用的是超声波来扫描指纹,高通称政府的安全应用亦采用了这种技术.目前高通已经与部分设备制造商合作生产了样品,预计会在今年晚些时候实现

iPhone新款手机会否采用指纹识别技术?

摘要: 将于9月10日召开发布会,引起来外界各种猜测,新AppleTV会否亮出神秘的面纱,iPhone新款手机会否采用指纹识别技术? 在A股市场相关概念股涨得风生水起之时,香港市场中涉足指纹生物 将于9月10日召开发布会,引起来外界各种猜测,新AppleTV会否亮出神秘的面纱,iPhone新款手机会否采用指纹识别技术? 在A股市场相关概念股涨得风生水起之时,香港市场中涉足指纹生物识别业务的世达科技(01282,HK)也不遑多让,公司股价自去年中旬时的0.1港元/股左右一路上涨至近期0.69港元/

智能手机搭载指纹识别技术将成为未来主流

全球各大智能手机制造商非常可能跟随苹果的步伐,在明年推出具有指纹识别功能的智能手机.而这一趋势也为指纹识别技术巨头Fingerprint Cards带来了无限商机. 今年9月份,苹果推出的iPhone 5S成为了全球首台配置指纹识别感应器的智能手机.苹果手机所使用的指纹识别技术是该公司旗下AuthenTec所提供的. 打从那起,瑞典的Fingerprint Cards就希望能将其指纹识别感应装置卖给三星.LG和华为等其他智能手机制造商. Fingerprint CEO约翰•卡尔斯特罗姆(Joha

芯片商洗牌战拉开序幕 指纹识别技术独霸市场

指纹辨识芯片已经成为半导体产业明星级产品,但实际上,其技术难度并不高,真正的门槛在专利.资金,以及与供应商之间的关系. 芯片商洗牌战拉开序幕指纹识别技术独霸市场 大陆品牌手机已跃升为苹果(Apple).三星电子(SamsungElectronics)之外的主力部队,市场的指纹辨识商机更成为百家争鸣之地,根据估计,全球指纹辨识供应商有近30家,但现在真正有做出成绩来的独立芯片商不外乎是欧系FPC.美系Synaptics,台湾敦泰.义隆电.神盾,以及大陆思立微.汇顶,预计2017年全球指纹辨识手机成

用户指纹技术识别技术更安全?你会选择哪种?

在 MWC 展上,高通发布了一项新的 3D 指纹识别传感技术解决方案,可能比苹果的 TouchID 指纹按压识别更为先进.该技术利用声波直接穿过皮肤表层,能识别出三维细节和独特的指纹特征,从而大大提高手机的安全性.虽然在智能手机上使用 3D 指纹识别可能会更加安全,但是对于用户使用指纹识别这项技术,我依旧怀揣着一种不安和一丝焦虑. 首先,最大的担忧是系统可能不会像人们预期的那样能正常运作.在 2013 年有消息称 TouchID 也会采用 3D 技术分析指纹从而避免第三方利用图像或仿制的指纹对手