Waf payload检测能力测试 waf testing

up::网络基础设施 Network Infrastructure-WAF

  • 1. 评估工具

    • WAF能力评估工具在业界都比较少见,为数不多的还是由WAF供应商开发的,如:
      • Framework for Testing WAFs (FTW!) (https://github.com/fastly/ftw),由 ModSecurity 和 Fastly 的研究人员创建,旨在帮助为 WAF 规则提供严格的测试。它使用 OWASP Core Ruleset V3 作为基线来测试 WAF 上的规则。规则集中的每个规则都加载到一个 YAML 文件中,该文件发出将触发这些规则的 HTTP 请求。
      • GoTestWAF(https://github.com/wallarm/gotestwaf),由另一家 WAF 供应商 Wallarm 负责维护。GoTestWAF 使用 YAML 来定义多个测试,这些测试使用不同的有效载荷变体、绕过技术、编码以及有效载荷插入点(包括模拟 API 调用的 JSON 结构)。 本文使用GoTestWAF进行测试。
      • WAFLab(https://github.com/microsoft/waflab),微软出品,使用 YAML 来定义多个测试用例,默认使用modsecurity的规则进行验证。
  • 2. GoTestWAF 如何工作?

    • GoTestWAF 生成具有预定义的基本有效负载的请求以及特定于不同 API(REST、SOAP、XMLRPC)的攻击。之后,它将它们发送到应用程序并分析响应以在控制台输出中生成详细报告或作为 PDF。
    • 主要思想是将攻击载荷编码并放置在 HTTP 请求的不同部分:其正文、标头、URL 参数等。为了简化,实现了以下逻辑:
      • 有效载荷 → 编码器 → 占位符
    • 这意味着每个负载样本(恶意攻击样本,例如像“alert(1)”这样的 XSS 字符串)将首先以某种方式编码,然后放入 HTTP 请求中。还可以选择使用保持字符串原样的普通编码器。
    • 为了使测试可读,GoTestWAF 使用 YAML DSL。以下是 SQL 注入负载的示例:
        payload:
      '"union select -7431.1, name, @aaa from u_base--w-'
      "'or 123.22=123.22"
      "' waitfor delay '00:00:10'--"
      "')) or pg_sleep(5)--"
        encoder:
      Base64Flat
      Url  
        placeholder:
      UrlPath
      UrlParam
      JsonBody
      Header
      
    • 作为每 4 个有效载荷、2 个编码器和 4 个占位符的排列结果,本次测试将发送 424=32 个请求。
  • 3. WAFLab

    • 测试用例格式如下: ``` meta: author: Microsoft enabled: true name: dev-933140.yaml description: This YAML file is automatically generated by WAFLab AutoGen tests:
      • test_title: 933140-0 desc: REQUEST_COOKIES stages:
        • stage: input: stop_magic: true dest_addr: 127.0.0.1 method: GET port: 80 protocol: http uri: / version: HTTP/1.0 headers: Cookie: O09SFeTTuD=PHP://TEMP Host: wafdefaultruleset20.waftestdf.azfdtest.xyz output: status: - 403 ```

Notes mentioning this note