同样,除了特殊情况外,一般用户的请求不应包括SQL语句中的保留字。这样,我们就可以确定某个特定的SQL关键字是否包含SQL注入。然而,这并不意味着用户请求的URL没有任何SQL关键字。发生这种情况时,SQL注意策略可能会发出虚惊。具体地说,在生产环境中,许多部门都将Granfana用作监控软件,其URL只包含一个明确的SQL关键字。若严格写入了SQL注入规则的限制,则可能出现假阳性。不但WAF会给出误报,而且一些基于网络流量监测的设备也会给出误报,这涉及到报警过滤策略。在此需要说明的是,事故与报警是两回事。报警可能只是一种观点,真正的威胁报警只是一种结论,因此需要立即核实和检查。
就刚刚举的那个例子,启明星辰的这种软件,他就针对这种异常的这种数据包,他就直接导致他这个主进程崩溃,导致能够产生的一个硬件在pass,导致你的业务流量直接到后端去了。类似这种话,这种情况呢可能在其他厂商中也有出现过。
那么从WAF的一个绕过角度,呢我们可以通过三个角度去到,我总结来看就是一个是架构,架构呢就指的是主要是指的我们这种部署模式的上面的一个绕过,以及第二个就是以及第二个就是比较多的这种规则权限以及特性。像以前网上公开这种绕过技巧,大部分都是在这个第二个维度,就是这个规则与缺陷这个层面以及特定性这个层面去绕过来。
第三个就是协议,协议层面上就是指的这种HTTP的协议的一个实现。从off的这个绕过角度的话,我们可以从三块去做,一个是架构,因为就是规则缺陷特性以及协议架构的就主的主要指的是这种前期讲的那种wrong,不是讲模式上面的一个状况。
另外就是规则缺陷以及特性,这是之前网上流传比较多这种。我我买票子文章里面可以提及到的,就是利用这种特性以及一些中间的特性。第三个的话提的可能比较少,一个是协议上就是指的是HTTP的协议,因为因为协议实际上出了很久了,以及FC各个条例也有很多更新,主要指的是老版本下面的这种0.9下面的这种 HTTP这种特性。
好,接下来讲一下这个沃尔福绕过的角度,我们总结来看主要是三个角度,一个是架构,另外就是规则缺陷特性以及这个协议层面和架构层面的指的是那种基于CDs解析的这种架构下面,我们可以通过这种早晨是IP的这种方法去绕过这个 WAF。