绕过ngx_lua_waf SQL注入防御的策略分析

"本文介绍了如何绕过ngx_lua_waf的SQL注入防御策略，主要涉及ngx_lua_waf的基础知识、环境搭建、以及WAF测试方法。ngx_lua_waf是一款基于ngx_lua的Web应用防火墙，文章中提到的核心防御规则是针对SQL注入的。作者分享了三种另类思路来规避防御，同时探讨了参数处理的细节，特别是大小写的敏感性问题，以及与IIS服务器之间的参数获取差异可能带来的安全风险。" ngx_lua_waf是一个基于开放源代码的ngx_lua模块构建的Web应用防火墙，其特点是易于使用、高性能和轻量级。它在wafconf目录下包含了一系列默认的防御规则，其中一条关键的SQL注入防护规则是针对SELECT语句的变形，旨在阻止恶意的from或limit关键字以及可能的union select操作。 在Bypass ngx_lua_waf的SQL注入防御时，文章提到了以下三个思路： 1. 理解WAF的工作机制：ngx_lua_waf通过ngx.req.get_uri_args和ngx.req.get_post_args两个函数分别获取URI请求参数和POST请求内容。这表明WAF对请求参数的处理是区分来源的，并且对参数值的大小写是敏感的。 2. 参数排序与大小写：测试用例展示了，当提交相同参数名但大小写不同的值时，WAF会将它们视为不同的参数。这与某些服务器（如IIS+ASP/ASPX）的不区分大小写特性形成对比，可能会导致参数获取的不一致性。 3. 利用参数获取差异：在nginx作为反向代理到IIS服务器的场景下，由于参数获取的大小写差异，结合HTTP参数污染（HPP）技术，可能存在安全漏洞，可以被攻击者利用。 为了测试和理解ngx_lua_waf的行为，可以通过搭建测试环境，如从GitHub上获取ngx_lua_waf的源码并进行安装部署。通过构造SQL注入点，并模拟不同类型的请求，观察WAF如何处理这些请求，从而找出可能的绕过策略。 此外，针对SQL注入防御，攻击者可能尝试的方法包括但不限于： - 使用编码或编码转换来避开WAF的关键词检测，如使用URL编码、HTML实体编码等。 - 拼接非标准的SQL语法，如使用动态SQL或存储过程。 - 尝试利用WAF的逻辑漏洞，比如条件判断的漏洞。 绕过WAF的防御需要深入理解其工作原理，利用其可能存在的弱点。对于防御方来说，持续更新和优化WAF规则，以及结合其他安全措施，如输入验证、参数化查询等，能有效提高系统的安全性。