欢迎来到我的博客

��.WAF 如何改变渗透测试？识别、绕过与实战 决策指南 副标题：不是所有 WAF 都牢不可破，但盲目硬刚 = 浪费时间 + 暴露身份 标签： #WAF #渗透测试 #红队战术 #攻防演练 #安全防护 关联笔记：[[静态、伪静态、动态网站：一眼识别]]、[[前后端分离架构如何改变渗透测试？]] 🧠 核心结论（先记住这句） 没开 WAF → 常规攻击手法大概率有效 ● 开了 WAF → 90% 的自动化工具失效，需判断 WAF 类型再决定是否绕过 ● 商业 WAF（如阿里云、Imperva）→ 绕过难度高，不建议强攻 ● 开源/免费 WAF（如 D 盾、安全狗）→ 规则老旧，存在绕过可能 ● ✅ 终极原则：WAF 不是“能不能绕”，而是“值不值得绕” 🔍 一、WAF 开启前后：攻击效果对氏 场景 未开启 WAF 开启 WAF 后 上传 WebShell 成功上传并访问 shell.asp 返回拦截⻚（如 D 盾提示“禁止 脚本访问”） SQL 注入 ’ OR ‘1’=‘1 可能回显数 请求被阻断，返回 403 或自定 据 义拦截⻚ XSS 测试

信息收集 目录扫描、备份文件可获取 敏感路径被屏蔽，返回统一错误 ⻚ 💡 演示案例（来自你的笔记）： ● 关闭 D 盾 → 访问 127.0.0.1/shell.asp 成功，哥斯拉可连接 开启 D 盾 → 访问同一 URL → 显示“D盾拦截提示” → 攻击失败 ● ⚖ 二、商业 WAF vs 开源/免费 WAF 对氏 对氏维度 商业 WAF（云 WAF / 硬件 开源/免费 WAF（软件型） WAF） 代表产品 阿里云云盾、腾讯云 WAF、 D 盾、安全狗、云锁 Imperva、天清 WAG 部署方式 云反向代理（CDN 层）、硬件 安装在服务器本地 串联 （IIS/Apache 模块） 规则更新 实时云端更新，AI 行为分析 依赖本地规则库，更新滞后 检测能力 深度协议解析、语义分析、机器 基于关键词/正则匹配（如 ev 学习 al 、 union select ） 绕过难度 ⚠ ⚠ ⚠ 极高（尤其大⼚云 ⚠ 中低（规则固定，可 fuzz 绕 WAF） 过） 日志与溯源 完整攻击日志 + IP 封禁 + 告警 仅本地记录，无联动封禁 适用场景 金融、政务、大型互联网企业 中小企业、个人站⻓ ✅ 关键洞察： 云 WAF（如阿里云）：请求先经过 WAF 再到源站，源站 IP 隐藏，无法直接打源站 ● 本地 WAF（如 D 盾）：运行在服务器上，若能绕过 Web 层，可能直接接触应用 ● 🎯 三、实战攻防演练：遇到 WAF 该如何决策？ 357

决策流程图（文字版） text 编辑 1 发现目标 → 测试基础漏洞（如 SQLi） → 是否被拦截？ 2 │ 3 ├─ 否 → 继续渗透（可能未开 WAF） 4 │ 5 └─ 是 → 判断 WAF 类型 6 │ 7 ├─ 商业 WAF（阿里云/腾讯云等） → 8 │ ✅ 放弃直接攻击 9 │ ✅ 转向旁路：社工、供应链、子域名、员工邮箱 10 │ ❌ 不要暴力 Fuzz（触发封禁+暴露 IP） 11 │ 12 └─ 开源 WAF（D盾/安全狗等） → 13 ✅ 尝试轻量绕过（大小写、编码、注释混淆） 14 ✅ 结合业务逻辑（如图片上传+解析漏洞） 15 ✅ 若 10 分钟无果 → 放弃，避免浪费时间 具体行动建议 ✅ 可尝试绕过的场景（开源 WAF） ● 使用 非常规编码： %25%35%63%25%36%61%25%37%61 （双重 URL 编码） 利用 HTTP 协议特性：换行、分块传输、畸形 Header ● 结合业务功能：如通过“头像上传”传 WebShell，利用解析漏洞执行 ● ● 使用 冷⻔ payload：避开常⻅关键字（如用 assert 代替 eval ） ❌ 不建议强攻的场景（商业 WAF） ● 目标使用 阿里云 CDN + 云盾 → 所有流量经阿里清洗 ● 返回⻚面含 Tencent Cloud 、 waf.tencent.com → 腾讯云 WAF ● 响应头含 x-safedog 、 x-dun → 可能是网易易盾等强防护 📌 红队铁律： “护网/攻防演练中，时间就是分数。绕不过的 WAF，就不是你的目标。” 358

🔒 四、防御者视⻆：WAF 配置最佳实践 不要只依赖 WAF！WAF 是最后一道防线，不是唯一防线 ● 定期更新规则库（尤其开源 WAF） ● 开启日志审计，联动 SIEM 告警 ● 对管理后台做 IP 白名单 + 2FA ● 隐藏真实服务器 IP（避免被绕过 CDN 直接打源站） ● 📌 五、总结口诀 “WAF 一开，常规失效； 商业难破，开源可试。 护网打点，效率第一； 绕不过就走，别死磕到底。” 359