【问题背景】 客户内网服务区被攻击扣分,但是在我们waf设备上没有日志,也没有拦截,没有任何和该服务区相关的记录,需要对该问题进行查找原因、处理。 【网络环境】 出口radware-IPS-WAF-AF-SW-server SW旁挂F5 出口映射出去F5,F5虚拟服务映射出去server。相当于内网2次NAT 【排查过程】 1. 访问客户该域名xxx.yyygroup.com(已脱敏)发现会跳转到另外一个域名sso.yyygroup.com(已脱敏)上去。ping第一个域名得到的ip在出口radware上,但是ping第二个域名得到的ip地址不在该radware出口上,所以不能对跳转后的域名进行攻击尝试。要么对原域名直接攻击,要不就登陆进去跳转后的域名进行攻击。也给客户要到了测试账号,以便于排除302重定向跳转的干扰 访问: 跳转到: 2. 这时候在外网对xxx.yyygroup.com进行模拟攻击 (1) sql注入:在xxx.yyygroup.com后加 and 1=1 (2) 目录遍历:在xxx.yyygroup.com后加service=cat ../../../../../../../../../etc/passwd 3. 这时候在waf设备-内置数据中心-日志查询-web应用防护中查询不到该域名的攻击行为日志 4. 问题初步判断:数据经过我们设备了吗? 一边攻击、ping域名(xxx和sso)、刷新页面,另一边同时在waf设备上抓包。 a. 对xxx域名操作时,发现在设备上能抓取到数据包 b. 对sso域名操作时,在设备上抓不到包 c. 故能证明访问xxx.yyygroup.com的数据包肯定能经过waf设备 5. 问题进一步判断:策略配置有问题吗? (1) 检查设备waf策略,区域和网段都包含了数据流量走向 (2)
(3) 发现策略配置也无问题 6. 问题进一步怀疑是不是伪装攻击测试的手段不够强大,设备识别不到呢。 (1) 规则库是最新 (2) 攻击测试时,能有数据包到达waf (3) 与安服专家确认,刷新改攻击方式,会有很多日志产生,之前尝试过很多次 7. 再一次模拟访问过程攻击,发现我们访问http://xxx.yyygroup.com会跳转到https://sso.yyygroup.com,登陆进去之后会跳转到https://xxx.yyygroup.com。那么就考虑到是跳转到了https协议的网站,是否有配置ssl解密呢。检查发现没有配置ssl解密 8. 跟客户申请到该域名的证书,合成后导入设备。合成方法可参考链接: 9. ssl解密配置步骤: (1)
(2)
(3)
10. 再次模拟攻击,有waf日志产生了,并且正常拦截 (1)
【原因分析】 1. 根据访问域名跳转,需要对跳转前的域名攻击,不能对重定向跳转后的域名攻击,否则数据包到不了waf设备。 2. 数据流能到设备,攻击方式和waf策略配置都没有问题。 3. 访问http域名跳转到了https上。 4. 访问https网站的流量,必须要在设备上配置解密才能有日志,并且可以正常拦截。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-10-24 13:27
发表于 2020-10-23 09:30
技术员3级 
