未加星标

Modsecurity原理分析--从防御方面谈WAF的机制

字体大小 | |
[web安全 所属分类 web安全 | 发布者 店小二05 | 时间 20141109 | 作者 Sd_red ] 0人收藏点击收藏
0x00 背景知识

一说到WAF,在我们安全工作者,或者作为普通的白帽子来说,就很头疼,因为好多时候,我们发到服务端的恶意流量都被挡掉了,于是就产生了各种绕“WAF”的话题,绕来绕去,也就无非那么多种,而且大多都是基于URLDecode的方式。

虽然我的文章也会讲绕过,虽然也是那么几种,但是我会从防御的方面展示WAF规则的强大。

笔者再次强调,如果你只是想学习WAF的绕过,我建议还是不要跟我的帖子了,我的目的还是主要帮助好多人去搭起整个框架,从而在谈绕过。

0x01 从Modsecurity模块谈起

问过圈内的好多朋友“知道WAF吗?”,他们会明确告诉我,“知道”。但是当我给他们说起,Modsecurity这个Apache的模块的时候,他们就开始摇头。其实WAF的事实标准就是开源的Modsecurity。并且Modsecurity已经被开发成了Apache的一个模块,而且这个模块在反向代理的工作状态下,实际上是可以保护任何Web程序的。

其实,Modsecurity的威力就在于它的规则语言上,这种语言是配置指令和应用到HTTP请求和响应的一种简单编程语言的组合,其实按理说这种语言应当被称作Lua。一般情况下,Modsecurity的最终结果都是具体到一个动作的执行,比如允许请求通过,或者将日志记录到Modsecurity_audit.log或者httpd的log文件中。

以下就是我本地的Modsecurity模块,具体如下图所示
Modsecurity原理分析--从防御方面谈WAF的机制

从上图就可以得知,这些规则库(只是截取了一部分)几乎构成了Modsecurity的全部,其中红箭头所指的方向,就是防止我们SQL注入的一些规则,其中的规则多达100多条,我们先大体看下他的规则,从宏观上有个大体的认识,为后期的SQL注入绕过储备必要的知识。


Modsecurity原理分析--从防御方面谈WAF的机制
从上图中我们也可以轻易看到,我们进行SQL注入攻击时常用的payload,不好意思这些都在规则库考虑之内。下面先说下Modsecurity的规则库吧。 0x02 Modsecurity 处理事件的5个阶段

请求头阶段(Request-Headers) 请求头阶段,又称作“Phase 1”阶段。处于在这个阶段的Modsecurity规则,会在Apache完成请求头后,立即被执行。到这个时候还没有读取到请求体,意即并不是所有的请求的参数都可以被使用。

请求体阶段(Request-Body) 请求体阶段,又称作“Phase 2”阶段。这个阶段属于输入分析阶段,大部分的应用规则也不会部署于这个阶段。这个阶段可以接收到来自于正常请求的一些参数。在请求体阶段,Modsecurity支持三种编码方式,具体编码方式如下:

(1)Application/x-www-form-urldecode

(2) Multipart/form-data

(3) Text/xml

响应头阶段(Response_Headers) 相应头阶段,又称作“Phases3”阶段。这个阶段发生在响应头被发送到客户端之前。在这个阶段,一些响应的状态码(如404)在请求的早起就被Apache服务器管理着,我们无法触发其预期的结果。

响应体阶段(Request_Body) 响应头阶段,又称作“Phase4”阶段。这个阶段可以运行规则截断响应体。

记录阶段(Logging) 记录阶段,又称作“Phase5”阶段,写在这个阶段的规则只能影响日志记录器如何执行,这个阶段可以检测Apache记录的错误信息,在这个阶段不能够拒绝或者阻断连接。因为在这个阶段来阻断用户的请求已经太晚了。

为了更加直观的展示Apache加载上Modsecurity模块后,运行阶段,我做了一个流程图:


Modsecurity原理分析--从防御方面谈WAF的机制
0x03 Modsecurity的Rule规则详解 一、为了更好的了解Modsecurity的工作机制,我们来分析下SecRule的规则,具体规则如下: SecRule variable operator [Actions] 1 variable变量:用来描述哪个变量应当被检查; 2 operator变量:用来描述如何检查。Operator实际上正则表达式,但是Modsecurity自身会提供很多的Operator,利用的时候直接使用”@operator”即可。 3 Actions:第三部分为可选的部分。描述当操作进行成功的匹配一个变量变量时,下一步该如何去处理。

二、为了更直观的表现SecRule的规则,给出一个具体的事例如下这条规则取自Modsecurity_crs_41_sql_injection_attacks.conf中:

SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "(?i:(?i:\d[\"'`’‘]\s+[\"'`’‘]\s+\d)|(?:^admin\s*?[\"'`’‘]|(\/\*)+[\"'`’‘]+\s?(?:--|#|\/\*|{)?)|(?:[\"'`’‘]\s*?\b(x?or|div|like|between|and)\b\s*?[+<>=(),-]\s*?[\d\"'`’‘])|(?:[\"'`’‘]\s*?[^\w\s]?=\s*?[\"'`’‘])|(?:[\"'`’‘]\W*?[+=]+\W*?[\"'`’‘])|(?:[\"'`’‘]\s*?[!=|][\d\s!=+-]+.*?[\"'`’‘(].*?$)|(?:[\"'`’‘]\s*?[!=|][\d\s!=]+.*?\d+$)|(?:[\"'`’‘]\s*?like\W+[\w\"'`’‘(])|(?:\sis\s*?0\W)|(?:where\s[\s\w\.,-]+\s=)|(?:[\"'`’‘][<>~]+[\"'`’‘]))" "phase:2,capture,t:none,t:urlDecodeUni,block,msg:'Detects basic SQL authentication bypass attempts 1/3',id:'981244',tag:'OWASP_CRS/WEB_ATTACK/SQL_INJECTION',logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',severity:'2',setvar:'tx.msg=%{rule.id}-%{rule.msg}',setvar:tx.sql_injection_score=+1,setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:'tx.%{tx.msg}-OWASP_CRS/WEB_ATTACK/SQLI-%{matched_var_name}=%{tx.0}'"

2.1 该规则请求的参数包括所有的Cookie信息(Request_Cookies以及!Request_Cookies)以及cookie的名称(Request_name),Post参数(Args)以及Post参数的名称(Args_names),当然还有其中的XML文件(XMLL:/*)

2.2 其中最多的还是那一堆的正则表达式,正则表达式我就不给大家分析了。算了还是贴个图吧:
Modsecurity原理分析--从防御方面谈WAF的机制

2.3 使用到请求体阶段“Phase2”阶段

2.4 根据正则表达式来匹配每个对象,并且已经为正则表达式开启了捕获的状态(capture)

2.5 匹配之前先让请求数据经历多种变换(t:none来表示)。经过的主要变换有urlDecode Unicode。前者的主要作用是清除之前设置的所有转换的函数和规则。后者主要是进行URL的编码。

2.6 如果匹配成功后,将会阻塞这个请求(block)。并且抛出提示信息(msg)。一次表明这是一个SQL注入的攻击,并且将这条注入攻击添加到规则当中。同时区分攻击类型的唯一性的标签(tag)也将添加到日志当中。

2.7 该规则同时还被分配了一个唯一性的ID(ID:981244)

本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师

主题: SQLSQL注入XML开源Lua服务器其实河美变量数据
tags: Modsecurity,阶段,规则,请求,tx,WAF,SQL,Request,Apache,msg,COOKIES,REQUEST,SecRule,setvar,模块
分页:12
转载请注明
本文标题:Modsecurity原理分析--从防御方面谈WAF的机制
本站链接:http://www.codesec.net/view/52500.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | web安全 | 评论(0) | 阅读(995)