WAF的区域封禁在特定情况下可绕过

WAF的区域封禁在特定情况下可绕过

更新时间:2018-09-19 10:14:36

概述

本文主要描述WAF的区域封禁在特定情况下是可以被绕过的。

详细信息

如果在WAF前没有七层代理,但是在控制台开启了WAF七层代理的开关,区域封禁可以被绕过。

工作原理

在开启WAF七层代理开关的情况下,WAF会认为不是与客户端直接通信,因此WAF会通过X-Forwarded-For字段来判断客户端的IP是否属于封禁地区,因此可以通过伪造X-Forwarded-For字段的方法来绕过区域封禁。

重现方法

重现环境:环境区域封禁封禁海外IP,使用Postman发包。设置代理,确定当前环境确实是海外环境。
  1. 使用Postman向网站发送请求,请求被WAF拦截,返回405错误码。
  2. 增加XFF字段为一个国内的IP,可以发现服务器返回了正常的页面。
这种情况不止会出现在区域封禁中,也可能会出现在其他涉及到XFF字段的情况中。另外,在WAF前接入七层高防,通过修改XFF字段的方法并不能绕过区域封禁,原因可能是高防在回源给WAF的头部增加了X-Real-IP字段,WAF会直接通过这个字段来获取客户端的真实IP。

适用于

  • Web应用防火墙