最近才關注到的一款雲waf,花了一些時間搭建了乙個環境,並做了一些測試,感覺比較適合新手來練習waf bypass。
x-waf是一款適用中、小企業的雲waf系統,讓中、小企業也可以非常方便地擁有自己的免費雲waf。
官網:原始碼:
系統版本:centos6.5 x86_64
1、openresty的配置
將x-waf的**目錄放置到openresty的/usr/local/openresty/nginx/conf目錄下,然後在openresty的conf的目錄下新建vhosts目錄
3、配置nginx
將x-waf/nginx_conf/nginx.conf 複製到nginx/conf目錄下進行覆蓋。
cp /usr/local/openresty/nginx/conf/x-waf/nginx_conf/nginx.conf /usr/local/openresty/nginx/conf/nginx.conf設定反向**:/usr/local/openresty/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/openresty/nginx/conf/nginx.conf syntax is
oknginx: configuration file /usr/local/openresty/nginx/conf/nginx.conf test is
successful
/usr/local/openresty/nginx/sbin/nginx
location /test/{
proxy_pass
4、x-waf-admin安裝
tar -zxvf x-waf-admin0.1-linux-amd64.tar.gz5、登入x-admincd x-waf-admin
cd conf
//配置mysql賬號密碼
cd ..
./server
管理位址為:http://ip:5000/login/
管理後台的預設的賬戶及口令分別為:admin,[email protected]
先熟悉一下檢測流程,x-waf目錄的waf.lua,程式入口:
從中我們可以看到,通過if語句進行檢測,單一的程式入口,一旦滿足條件就不再進行檢測。
1、利用白名單
在x-waf/rules中,預設存在著白名單和黑名單,預設都有ip:8.8.8.8
從上面的檢測流程可以看出,一旦滿足白名單就不再進行檢測,從而繞過。我們可以偽造x-real-ip:8.8.8.8
2、繞過正則
rule中比較關鍵的兩個正則如下:
(?:(union(.*?)select,.*? 是乙個固定的搭配,.和*代表可以匹配任意無限多個字元,加上?表示使用非貪婪模式進行匹配,也就是會盡可能短地做匹配))select.+(from|limit)
點號(.) 匹配任意除換行符"\n"外的字元,可以嘗試通過%0a來繞過正則。
3、大小寫可繞過
4、其他繞過方式
如:寬位元組、%特性、%u特性(asp/aspx+iis)等
寬位元組繞過:
%特性
防禦規則還有待加強,繞過的方式肯定還有不少,這邊只測試了一下iis+asp/aspx+mssql的環境,apache+php+mysql有待測試,有空再來試試吧。
x-waf 官網的介紹還是感覺很不錯的,使用指南也很清晰,整體部署體驗還不錯,x-admin的web介面很簡潔,配置起來還是挺方便的。
體驗測試生活
本週最開始自己寫了一些用例,主要是學習了perl指令碼的使用,然後使用perl指令碼來跑這些用例。之後,從週三開始進入測試組,體驗一下測試流程,學習下測試理論,並參與用例設計編寫與測試執行過程。在測試組的這三天體會很深刻。第一天過來,看了一下以前簡轉繁模組的測試文件,當時就覺得很驚訝,這麼簡單乙個模...
使用者體驗測試
為什麼要做使用者體驗測試 如今市場上的絕大多數產品都是2c的,對使用者量有需求,需要讓使用者快速的熟悉和使用該產品。以前2c產品的說明書和使用者教學模式已經不再適用。使用者體驗的好壞直接決定了產品推廣的容易程度。哪些群體適合作為使用者體驗測試的物件 產品經理 產品經理尤其是設計該類產品的,對產品的需...
使用者體驗測試
使用者體驗 user experience,簡稱ue 是一種純主觀在使用者使用產品過程中建立起來的感受。但是對於乙個界定明確的使用者群體來講,其使用者體驗的共性是能夠經由良好設計實驗來認識到。在最新的創新思想中提到,使用者體驗是作為創新機制之首。在軟體測試中,使用者體驗測試又是如何評定和實施呢?關於...