WAF的区域封禁在特定情况下可绕过

概述

本文主要描述WAF的区域封禁在特定情况下是可以被绕过的。

详细信息

如果在WAF前没有七层代理，但是在控制台开启了WAF七层代理的开关，区域封禁可以被绕过。

工作原理

在开启WAF七层代理开关的情况下，WAF会认为不是与客户端直接通信，因此WAF会通过X-Forwarded-For字段来判断客户端的IP是否属于封禁地区，因此可以通过伪造X-Forwarded-For字段的方法来绕过区域封禁。

重现方法

重现环境：环境区域封禁海外IP，使用Postman发包。设置代理，确定当前环境确实是海外环境。

1. 使用Postman向网站发送请求，请求被WAF拦截，返回405错误码。
2. 增加XFF字段为一个国内的IP，可以发现服务器返回了正常的页面。

这种情况不止会出现在区域封禁中，也可能会出现在其他涉及到XFF字段的情况中。另外，在WAF前接入七层高防，通过修改XFF字段的方法并不能绕过区域封禁，原因可能是高防在回源给WAF的头部增加了X-Real-IP字段，WAF会直接通过这个字段来获取客户端的真实IP。

适用于

• Web应用防火墙