WAF攻防之SQL注入篇

随着国家安全法的出台，网络安全迎来发展的新时期，越来越多企业或政府单位开始重视网络安全。很多网站陆陆续续告别裸奔时代，开始部署web应用防火墙（WAF）以应对网络攻击。由此，相关网站的安全性很大程度上取决于WAF的防护能力，WAF攻防研究已成为安全从业人员的必修课之一。

大多数WAF以规则匹配为基础进行安全防护，少数WAF带有自学习能力，规则维护成为WAF的核心。近年来，基于语义识别的WAF陆续出现，对其防护能力的研究也成为大家关心的热点之一。本文以MySQL为研究对象，总结相关WAF注入绕过技术，通过实战演练让大家了解各大WAF的相关特性，最后从攻防角度对WAF安全进行总结。

对已知的WAF相关绕过技术，总结如下，网上已有相关技巧的讲解，这里就不一一演示，不明白的可以自己查询相关资料：

在实际攻击场景中，单一的绕过技巧往往无效，需要我们综合利用各种绕过技术进行组合，结合各自WAF特性不断进行推理，才能真正实现绕过。

Bypass WAF的第一步是识别注入点，我们拿到一个URL，第一步判断参数是否有注入，然后再进行后续的绕过。简单的and 1=1 and 1=2判断肯定会被WAF拦截，我们需转变思路进行绕过，一般WAF为了平衡风险和业务的关系不会对下面数字型探测方式进行拦截，否则会产生大量误报影响正常业务运行。

本地测试环境：

如若 and也会拦截，可以直接在参数上进行类似判断操作，如id=1*0 、id=1*2，除了以上方法，还有很多其它衍生出的识别绕过方法，以{“op}为例作演示，其它的方法大家可以按照这种思路自行发挥：

安全狗：

百度云加速：

腾讯云：

阿里云：

当我们已确认注入点后，下一步的目标是完全Bypass WAF出任意数据，以下以安全狗、modsecurity、百度云加速、 阿里云盾、长亭雷池截止目前最新的版本为例，这里只提供绕过的思路，即如何利用已知技巧进行组合推理来绕过相关WAF防护，出数据具体过程这里就不详解，大家感兴趣的可以手动尝试。

本地无WAF测试环境：