CN108551461A - 一种检测waf部署的方法、计算waf支持ipv6程度的方法 - Google Patents

Abstract

本发明提供了一种检测WAF部署的方法、计算WAF支持IPV6程度的方法。所述检测方法包括：S1,获取待检测的网络应用程序的域名或地址，进入第一检测方法或第二检测方法，获取并记录第一检测结果，当第一检测结果为WAF未部署于终端网络应用程序中，则进入步骤S2，反之则停止；S2,进入步骤S1中未使用的第一检测方法或第二检测方法进行检测，获取并记录第二检测结果；其中，第一检测方法为判断待检测的网络应用程序HTTP通信中是否携带WAF特征值，若是，则WAF已部署于网络应用程序中，若否，则未部署；第二检测方法为通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，若是，则WAF已部署于所述网络应用程序中，若否，则未部署。

Description

一种检测WAF部署的方法、计算WAF支持IPV6程度的方法

技术领域

本发明涉及网络通信技术领域，特别是涉及一种检测WAF部署的方法、计算WAF支持IPV6程度的方法。

背景技术

Web应用防火墙(WAF，Web Application Firewall)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的软件。其主要的功能有：对网站或者APP的业务流量进行恶意特征识别及防护，将正常、安全的流量回源到Web服务器。避免网站服务器被恶意入侵，保障业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题。WAF代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

IPv6(Internet Protocol Version 6)为用于替代现行版本IP协议(IPv4)的下一代IP协议，由于IPv4最大的问题在于网络地址资源有限，严重制约了互联网的应用和发展。IPv6地址长度是128比特，而IPv4地址长度是32比特。就地址长度及容量都扩大了很多倍，IPv6的使用不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。

对于越来越广泛部署的WAF，需要检测它们支持IPv6的程度，通过该检测可以掌握了解IPv6的部署和使用情况。目前有的web应用程序已经部署WAF，而有的还未部署WAF，现有技术中并不存在检测WAF是否部署的方法，进而无法满足后续检测WAF支持IPv6的程度的需求。

发明内容

(一)要解决的技术问题

对于越来越广泛部署的WAF，需要检测它们支持IPv6的程度，通过该检测可以掌握了解IPv6的部署和使用情况。目前有的web应用程序已经部署WAF，而有的还未部署WAF，现有技术中并不存在检测WAF是否部署的方法，进而无法满足后续检测WAF支持IPv6的程度的需求。

(二)技术方案

一方面，本发明提供了一种检测WAF部署的方法，包括：S1,获取待检测的网络应用程序的域名或地址，进入第一检测方法或第二检测方法，获取并记录第一检测结果，当所述第一检测结果为WAF未部署于终端网络应用程序中，则进入步骤S2，反之则停止；S2,进入所述步骤S1中未使用的所述第一检测方法或所述第二检测方法进行检测，获取并记录第二检测结果；其中，所述第一检测方法为判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，若是，则WAF已部署于所述网络应用程序中，若否，则未部署；所述第二检测方法为通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，若是，则WAF已部署于所述网络应用程序中，若否，则未部署。

可选地，所述判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，包括：根据待检测的网络应用程序的域名或地址，向网络应用程序服务器发送HTTP请求，获取第一HTTP响应，判断所述第一HTTP响应是否携带WAF特征值。

可选地，所述WAF特征值包含cookie值、HTTP响应。

可选地，所述通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，包括：根据待检测的网络应用程序的域名或地址，向网络应用程序服务器发送模拟攻击HTTP请求，获取第二HTTP响应，判断所述第二HTTP响应是否包含错误信息，所述模拟攻击返回值即为所述第二HTTP响应。

可选地，所述错误信息包括403、406、419、500、501。

可选地，所述方法还包括：当已检测的网络应用程序的个数大于等于1时，根据所述第一检测结果和所述第二检测结果，获取本次检测之前的通过所述第一检测方法判断的次数N,同时获取判断结果为WAF已部署的次数A；获取本次检测之前的通过所述第二检测方法判断的次数M,同时获取判断结果为WAF已部署的次数B，判断A/N与B/M的大小，当A/N大于B/M时，则本次检测中所述步骤S1进入所述第一检测方法，当A/N小于B/M时，则本次检测中所述步骤S1进入所述第二检测方法。

另一方面，本发明提供了一种计算WAF支持IPV6程度的方法，通过上文所述的方法判断得到WAF已部署于网络应用程序中，所述计算方法包括解析成功率和访问成功率，通过以下公式获得：

解析成功率＝x/(K×5)×100％；

访问成功率＝y/5×100％；

其中，对所述已部署WAF的网络应用程序通过K个DNS服务器进行域名解析，每个所述DNS服务器解析5次，获取并记录解析结果中包含AAAA记录的次数为x，所述K为正整数；向所述已部署WAF的网络应用程序发送5次IPV6HTTP请求，记录所述请求成功的次数为y。

又一方面，本发明还提供了一种检测WAF部署的电子设备，包括：通信器，用于与服务器通信；处理器；存储器，其存储有计算机可执行程序，该程序在被所述处理器执行时，使得所述处理器执行如上文中检测WAF部署的方法。

再一方面，本发明还提供了一种检测WAF部署的系统，包括：第一检测模块，用于获取待检测的网络应用程序的域名或地址，进入第一检测方法或第二检测方法，获取并记录第一检测结果，当所述第一检测结果为WAF未部署于终端网络应用程序中，则进入第二检测模块，反之则停止；第二检测模块，用于进入所述第一检测模块中未使用的所述第一检测方法或所述第二检测方法进行检测，获取并记录第二检测结果；其中，所述第一检测方法为判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，若是，则WAF已部署于所述网络应用程序中，若否，则未部署；所述第二检测方法为通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，若是，则WAF已部署于所述网络应用程序中，若否，则未部署。

再一方面，本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上文所述检测WAF部署的方法。

(三)有益效果

本发明通过两种不同的检测方法对WAF是否部署于终端网络应用程序中进行判断，包含两种情况：判断HTTP通信中是否携带WAF特征值的情况，判断在模拟攻击HTTP请求下，HTTP响应是否包含错误信息。能够实现对WAF是否部署进行有效的判断，并且还能通过记录的两种判断方法得到的结果进行选择，选择判断成功率较高的判断方法优先进行判断。另外本发明实施例还能满足后续检测WAF支持IPv6的程度的需求。

附图说明

图1是本发明实施例提供的检测WAF部署的方法流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。但是应该理解，这些描述只是示例性的，而并非要限制本发明的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本发明实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本发明。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

一方面，本发明提供了一种检测WAF部署的方法，参见图1，其包括：S1,获取待检测的网络应用程序的域名或地址，进入第一检测方法或第二检测方法，获取并记录第一检测结果，当所述第一检测结果为WAF未部署于终端网络应用程序中，则进入步骤S2，反之则停止；S2,进入所述步骤S1中未使用的所述第一检测方法或所述第二检测方法进行检测，获取并记录第二检测结果；其中，所述第一检测方法为判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，若是，则WAF已部署于所述网络应用程序中，若否，则未部署；所述第二检测方法为通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，若是，则WAF已部署于所述网络应用程序中，若否，则未部署。

可选地，所述判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，包括：根据待检测的网络应用程序的域名或地址，向网络应用程序服务器发送HTTP请求，获取第一HTTP响应，判断所述第一HTTP响应是否携带WAF特征值。所述WAF特征值包含cookie值、HTTP响应。

由于部分WAF会在cookie值或HTTP响应中留下明显的标记，或在HTTP通信中加上唯一的cookie值，可以通过WAF特征值进行识别。

例如：向某已部署WAF的网络应用程序服务器发出标准HTTP GET请求，其返回的HTTP头信息中有如下信息：

Cookie:ASPSESSIONIDAQQSDCSC＝HGJHINLDNMNFHABGPPBN GFKC；

ns_af＝31+LrS3EeEOBbxBV7AWDFIEhrn8A000；ns_af_.target.br_％2F_wat＝QVNQU0VTU0lPTklEQVFRU0RDU0Nf？6IgJizHRbTRNuNoOpbBOiK RET2gA&

其中ns af即是该WAF特有返回的cookie值，该cookie值是唯一的。

_

再例如：向另一已部署WAF的网络应用程序服务器发出标准HTTP GET请求，其返回的HTTP头信息有如下信息：

Cookie:target_cem_tl＝40FC2190D3B2D4E60AB22C0F9EF155D5；

s_fid＝77F8544DA30373AC-31AE8C79E13D7394；

s_vnum＝1388516400627％26vn％3D1；

s_nr＝1385938565978-New；s_nr2＝1385938565979-New；

s_lv＝1385938565980；

s_vi＝[CS]v1|294DCEC0051D2761-40000143E003E9DC[CE]；

fe_typo_user＝7a64cc46ca253f9889675f9b9b79eb66；

TSe3b54b＝36f2896d9de8a61cf27aea24f35f8ee1abd1a43de557a25c529fe828；

TS65374d＝041365b3e678cba0e338668580430c26abd1a43de557a25c529fe8285a5ab5a8e5d0f299

其中TSe3b54b和TS65374d即是该WAF特有返回的Cookie特征值，该cookie值是唯一的。

可选地，所述通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，包括：根据待检测的网络应用程序的域名或地址，向网络应用程序服务器发送模拟攻击HTTP请求，获取第二HTTP响应，判断所述第二HTTP响应是否包含错误信息，所述模拟攻击返回值即为所述第二HTTP响应。所述错误信息包括403、406、419、500、501。

例如：Mod_Security是针对Apache服务器而设计的开源WAF。向已部署了Mod_Security的网络应用程序服务器发送恶意请求，得到模拟攻击返回值“406NotAcceptable”错误，在响应体中也暗示了该错误由Mod_Security生成。

发送的HTTP请求如下所示：

GET/<script>alert(1)；</script>HTTP/1.1

Host:www.target.com

User-Agent:Mozilla/5.0(Windows NT 6.1；WOW64；rv:25.0)Gecko/20100101Firefox/25.0

Accept:text/html,application/xhtml+xml,application/xml；q＝0.9,*/*；q＝0.8

Accept-Language:en-US,en；q＝0.5

Accept-Encoding:gzip,deflate

Connection:keep-alive

得到的HTTP响应如下所示：

HTTP/1.1406Not Acceptable

Date:Thu,05Dec 2013 03:33:03GMT

Server:Apache

Content-Length:226

Keep-Alive:timeout＝10,max＝30

Connection:Keep-Alive

Content-Type:text/html；charset＝iso-8859-1

<head><title>NotAcceptable！</title></head><body><h1>Not Acceptable！</h1><p>An appropriate representation of the requested resource could not befound on this server.This error was generated by Mod_Security.</p></body></html>

可以看出该第二HTTP响应中也说明了该错误由Mod_Security生成。

再例如：某针对IIS服务器的WAF，向该已部署了WAF的网络应用程序服务器发送恶意请求，得到模拟攻击返回值"999No Hacking"。

发送的HTTP请求如下所示：

GET/？PageID＝99<script>alert(1)；</script>HTTP/1.1

Host:www.aqtronix.com

User-Agent:Mozilla/5.0(Windows NT 6.1；WOW64；rv:25.0)Gecko/20100101Firefox/25.0

Accept:text/html,application/xhtml+xml,application/xml；q＝0.9,*/*；q＝0.8

Accept-Language:en-US,en；q＝0.5

Accept-Encoding:gzip,deflate

Connection:keep-alive

得到的HTTP响应如下所示：

HTTP/1.1 999No Hacking

Server:WWW Server/1.1

Date:Thu,05Dec 2013 03:14:23GMT

Content-Type:text/html；charset＝windows-1252

Content-Length:1160

Pragma:no-cache

Cache-control:no-cache

Expires:Thu,05Dec 2013 03:14:23GMT

可选地，所述方法还包括：当已检测的网络应用程序的个数大于等于1时，根据所述第一检测结果和所述第二检测结果，获取本次检测之前的通过所述第一检测方法判断的次数N,同时获取判断结果为WAF已部署的次数A；获取本次检测之前的通过所述第二检测方法判断的次数M,同时获取判断结果为WAF已部署的次数B，判断A/N与B/M的大小，当A/N大于B/M时，则本次检测中所述步骤S1进入所述第一检测方法，当A/N小于B/M时，则本次检测中所述步骤S1进入所述第二检测方法。

本领域技术人员可以理解的是，在第一次对网络应用程序进行检测时，可以随机选用所述第一检测方法和所述第二检测方法进行判断，也可以默认设置第一次采用所述第一检测方法进行判断，若所述第一检测结果为WAF未部署于终端网络应用程序中，则采用第二检测方法进行判断。后续的检测则需要通过前面所有记录的检测结果选择优先采用的检测方法，即检测结果成功率高的优先采用，A/N的值以及B/M的值即分别为第一检测方法和第二检测方法的检测结果成功率，比较两者大小即可判断检测结果成功率的高低。

另一方面，本发明提供了一种计算WAF支持IPV6程度的方法，通过上文所述的方法判断得到WAF已部署于网络应用程序中，所述计算方法包括解析成功率和访问成功率，通过以下公式获得：

解析成功率＝x/(K×5)×100％；

访问成功率＝y/5×100％；

其中，对所述已部署WAF的网络应用程序通过K个DNS服务器进行域名解析，每个所述DNS服务器解析5次，获取并记录解析结果中包含AAAA记录的次数为x，所述K为正整数；向所述已部署WAF的网络应用程序发送5次IPV6HTTP请求，记录所述请求成功的次数为y。

另外，可以通过上述解析成功率和访问成功率对WAF支持IPV6程度达到的标准进行设定，例如，当所述解析成功率大于等于60％以及所述访问成功率大于等于20％时，认为WAF支持IPV6程度达到标准。

需要说明的是，本发明实施例中所述检测WAF部署的方法以及所述计算WAF支持IPV6程度的方法可以根据针对待检测的网络应用程序进行循环检测，用于应对根据WAF技术和时间的发展。可能会出现已检测未部署WAF的网络应用程序开始部署WAF的情况。例如对于第二检测结果为WAF未部署于终端网络应用程序中的情况，在等待预设时间之后再次获取该网络应用程序的域名或地址，重新进行WAF部署检测。

又一方面，本发明还提供了一种检测WAF部署的电子设备，包括：通信器，用于与服务器通信；处理器；存储器，其存储有计算机可执行程序，该程序在被所述处理器执行时，使得所述处理器执行如上文中检测WAF部署的方法。

再一方面，本发明还提供了一种检测WAF部署的系统，包括：第一检测模块，用于获取待检测的网络应用程序的域名或地址，进入第一检测方法或第二检测方法，获取并记录第一检测结果，当所述第一检测结果为WAF未部署于终端网络应用程序中，则进入第二检测模块，反之则停止；第二检测模块，用于进入所述第一检测模块中未使用的所述第一检测方法或所述第二检测方法进行检测，获取并记录第二检测结果；其中，所述第一检测方法为判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，若是，则WAF已部署于所述网络应用程序中，若否，则未部署；所述第二检测方法为通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，若是，则WAF已部署于所述网络应用程序中，若否，则未部署。

再一方面，本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上文所述检测WAF部署的方法。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种检测WAF部署的方法，包括：

S1,获取待检测的网络应用程序的域名或地址，进入第一检测方法或第二检测方法，获取并记录第一检测结果，当所述第一检测结果为WAF未部署于终端网络应用程序中，则进入步骤S2，反之则停止；

S2,进入所述步骤S1中未使用的所述第一检测方法或所述第二检测方法进行检测，获取并记录第二检测结果；

其中，所述第一检测方法为判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，若是，则WAF已部署于所述网络应用程序中，若否，则未部署；

所述第二检测方法为通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，若是，则WAF已部署于所述网络应用程序中，若否，则未部署。

2.根据权利要求1所述的方法，所述判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，包括：根据待检测的网络应用程序的域名或地址，向网络应用程序服务器发送HTTP请求，获取第一HTTP响应，判断所述第一HTTP响应是否携带WAF特征值。

3.根据权利要求2所述的方法，所述WAF特征值包含cookie值、HTTP响应。

4.根据权利要求1所述的方法，所述通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，包括：根据待检测的网络应用程序的域名或地址，向网络应用程序服务器发送模拟攻击HTTP请求，获取第二HTTP响应，判断所述第二HTTP响应是否包含错误信息，所述模拟攻击返回值即为所述第二HTTP响应。

5.根据权利要求4所述的方法，所述错误信息包括403、406、419、500、501。

6.根据权利要求1所述的方法，还包括：

当已检测的网络应用程序的个数大于等于1时，根据所述第一检测结果和所述第二检测结果，获取本次检测之前的通过所述第一检测方法判断的次数N,同时获取判断结果为WAF已部署的次数A；获取本次检测之前的通过所述第二检测方法判断的次数M,同时获取判断结果为WAF已部署的次数B；

判断A/N与B/M的大小，当A/N大于B/M时，则本次检测中所述步骤S1进入所述第一检测方法，当A/N小于B/M时，则本次检测中所述步骤S1进入所述第二检测方法。

7.一种计算WAF支持IPV6程度的方法，通过权利要求1-6中任一项所述的方法判断得到WAF已部署于网络应用程序中，所述计算方法包括解析成功率和访问成功率，通过以下公式获得：

解析成功率＝x/(K×5)×100％；

访问成功率＝y/5×100％；

其中，对所述已部署WAF的网络应用程序通过K个DNS服务器进行域名解析，每个所述DNS服务器解析5次，获取并记录解析结果中包含AAAA记录的次数为x，所述K为正整数；

向所述已部署WAF的网络应用程序发送5次IPV6HTTP请求，记录所述请求成功的次数为y。

8.一种检测WAF部署的电子设备，包括：

通信器，用于与服务器通信；

处理器；

存储器，其存储有计算机可执行程序，该程序在被所述处理器执行时，使得所述处理器执行如权利要求1-6中检测WAF部署的方法。

9.一种检测WAF部署的系统，包括：

第一检测模块，用于获取待检测的网络应用程序的域名或地址，进入第一检测方法或第二检测方法，获取并记录第一检测结果，当所述第一检测结果为WAF未部署于终端网络应用程序中，则进入第二检测模块，反之则停止；

第二检测模块，用于进入所述第一检测模块中未使用的所述第一检测方法或所述第二检测方法进行检测，获取并记录第二检测结果；

其中，所述第一检测方法为判断所述待检测的网络应用程序HTTP通信中是否携带WAF特征值，若是，则WAF已部署于所述网络应用程序中，若否，则未部署；

所述第二检测方法为通过模拟攻击所述网络应用程序，判断所述模拟攻击返回值是否包含错误信息，若是，则WAF已部署于所述网络应用程序中，若否，则未部署。

10.一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如权利要求1-6中检测WAF部署的方法。