HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG  AN TỒN MẠNG Đề tài: Tìm hiểu kali tool - WhatWaf Nhóm học phần: Nhóm 02 Thứ tự lớp: 06 Họ tên: Nguyễn Văn Đức Anh Mã sinh viên: B18DCAT009 MỤC LỤC GIỚI THIỆU, LỊCH SỬ HÌNH THÀNH: I A) WAF LÀ GÌ? B) GIỚI THIỆU: C) LỊCH SỬ HÌNH THÀNH: II CÀI ĐẶT, HƯỚNG DẪN SỬ DỤNG: 11 CÀI ĐẶT: 11 SỬ DỤNG: 13 a) Các nét đặc trưng WhatWaf: 13 b) Danh sách WAF, hệ thống bảo mật ứng dụng web hỗ trợ nhận dạng: (89) 14 CÁC ĐỐI SỐ KHI SỬ DỤNG: 17 CÁC BÀI LAB DEMO: 21 III BÀI 1: XÁC ĐỊNH TƯỜNG LỬA CỦA ỨNG DỤNG WEB VÀ TÌM CÁCH BYPASSES CHO WEBSITE HTTPS://APPLE.COM 21 BÀI 2: XÁC ĐỊNH TƯỜNG LOẠI TƯỞNG LỬA CỦA MỘT SỐ WEBSITE: 23 SO SÁNH, ĐÁNH GIÁ: 26 IV A) SO SÁNH: 26 Wafw00f: 26 Wafpass: 27 XSStrike: 28 B) ĐÁNH GIÁ: 29 V TÀI LIỆU THAM KHẢO: 30 Chú thích hình ảnh Ảnh 1: Qt WAFW00F tool Ảnh 2: Quét identYwaf tool Ảnh 3: Quét identYwaf tool Ảnh 4: Giao diện tương tác WhatWaf Ảnh 5: Tác giả thành tựu github whatwaf Ảnh 6: Cài đặt whatwaf kali linux 11 Ảnh 7: Cài đặt whatwaf kali linux 12 Ảnh 8: Cài đặt whatwaf kali linux 12 Ảnh 9: Bài demo - website khai thác 21 Ảnh 10: Bài demo - quét loại tường lửa dùng 21 Ảnh 11: Bài demo - whatwaf cho kết tường lửa sử dụng 22 Ảnh 12: Bài demo - whatwaf đưa phương án vượt qua tường lửa 23 Ảnh 13: Bài demo - website ebay 23 Ảnh 14: Bài demo - ebay sử dụng akamai firewall 24 Ảnh 15: Bài demo - website wire 24 Ảnh 16: Bài demo - website wire sử dụng loại tường lửa 25 Ảnh 17: Wafw00f example 26 Ảnh 18: Wafpass example 27 Ảnh 19: XSStrike example 28 I Giới thiệu, lịch sử hình thành: a) WAF gì? • WAF – Web Application Firewall, tường lửa ứng dụng web chương trình phân tích u cầu đến máy chủ web dựa quy tắc, lọc yêu cầu gây nguy hiểm đến trang web • Do trang web sử dụng WAF, khơng thể khai thác lỗ hổng trang web, chúng bị tường lửa ứng dụng web loại bỏ a) Sử dụng WAF có đảm bảo an tồn tuyệt đối cho website khơng? • Trên thực tế, với WAF (cũng nhiều giải pháp bảo mật khác), để WAF có hiệu quả, phải cấu hình Một số WAF khơng làm sau cài đặt, tất quy tắc lọc chưa cấu hình • Theo quan điểm WAF, ‘bảo vệ’ lý tưởng khơng có u cầu gửi đến máy chủ web – an toàn tuyệt đối khơng sử dụng • Nếu ta bật tất quy tắc WAF, máy chủ web ngừng hoạt động, hầu hết yêu cầu đến máy chủ coi ‘có khả nguy hiểm’ • Do đó, lập trình viên người tìm cân việc: website hoạt động WAF hiệu Để làm điều này, lập trình viên phải hiểu rõ hoạt động website, hiểu rõ cách thức công vào web site tin tặc Nó khó, lý tưởng thật • Đây lý ta thâm nhập trái phép, nguy hiểm vào website website bảo vệ tường lửa Nhưng WAF đảm nhiểm vai trò kiểm tra an ninh cho website bạn, ngăn chặn lỗ hổng thường gặp b) Một số công cụ dùng để phát WAF: • Các WAF khác có lọc khác có tập rules khác Vì vậy, việc xác định loại tường lửa quan trọng Do đó, ta sử dụng cơng cụ để tìm loại tường lửa sử dụng • WAFW00F: tool dùng để phát nhanh loại WAF cho website cụ thể o Nó quét trang web thông qua proxy o Hỗ trợ định đạng đầu vào đầu csv, json text Ảnh 1: Quét WAFW00F tool ➔ Chương trình chạy nhanh đơn giản, phát WAF tốt Nhưng thực tế khơng thể thay đổi User-Agent, đơi chương trình khơng thể xác định dc WAF lý máy chủ từ chối yêu cầu công cụ với User-Agent mặc định • identYwaf: chương trình dễ sử dụng mạnh mẽ khác Nó nhận dạng WAF dựa phản hồi máy chủ Hơn công cụ thực truy vấn bổ sung để xác định danh mục lỗ hổng mà WAF nhắm mục tiêu • Sau hồn tất qt, cơng cụ đưa ước tính (theo phần trăm) độ phức tạp việc khai thác lỗ hổng (nếu có) • Chương trình phát 80 loại sản phẩm bảo vệ khác Ảnh 2: Quét identYwaf tool Ảnh 3: Quét identYwaf tool • WhatWaf: chủ đề viết này, tìm hiểu kỹ công cụ phần b) Giới thiệu: ➔ WhatWaf công cụ phát bảo mật ứng dụng web nâng cao nhằm mục đích tìm thơng tin tường lửa website dành cho pentesters ➔ WhatWaf quét trang web cho biết máy chủ web có sử dụng WAF – Web Application Firewall hay không, loại ➔ Whatwaf cố gắng xác định tường lửa hệ thống phát danh sách cung cấp địa số ít, ứng dụng web, sau tường lửa xác định, whatwaf thử số kỹ thuật giả mạo xuất mô tả, ví dụ đường dẫn tải kỹ thuật thành công Ảnh 4: Giao diện tương tác WhatWaf c) Lịch sử hình thành: Ảnh 5: Tác giả thành tựu github whatwaf ➔ WhatWaf tạo nhóm nhỏ gồm người đam mê lập trình viên với người từ cộng đồng OpenSource ➔ WhatWaf khơng địi hỏi q nhiều kinh phí để nghiên cứu phát triển thơng tin có sẵn trực tuyến (WAF code, WAF name, …) ➔ Về WhatWaf miễn phí, có số tính nâng cao cần phải trả phí để sử dụng Từ phiên 2.0, cơng cụ khai thác CPU XMR tích hợp sẵn ➔ Lịch sử: Thời điểm Sự kiện 15/12/2017 WhatWaf mắt lần đầu 20/12/2017 WhatWaf giới thiệu Kitploit lần 21/12/2017 WhatWaf bắt đầu thịnh hành danh sách Python Github vị trí thứ 22/12/2017 Whatwaf nằm danh sách thịnh hành GitHub 24 27/12/2017 Whatwaf giới thiệu trang facebook "The Hacker News" lần 28/12/2017 Whatwaf bắt đầu thịnh hành trở lại, vị trí thứ ba 21/02/2018 Whatwaf xếp hạng thứ năm mười dự án python nguồn mở hàng đầu 19/03/2018 WhatWaf đạt 660 Github Tháng / 2018 WhatWaf đưa danh sách top 10 khác 09/08/2018 WhatWaf truy cập 726 bắt đầu Github 15/12/2018 Whatwaf tròn tuổi 12/02/2019 Whatwaf đạt 1k Whatwaf đứng thứ 16 bảng 34 amazing python libraries 23/09/2019 WhatWaf đạt 1300 • pkSecurityModule (IDS) • Powerful Firewall (MyBB plugin) • Radware (AppWall WAF) • RSFirewall (Joomla WAF) • Sabre Firewall (WAF) • SafeDog WAF (SafeDog) • SecuPress (WordPress WAF) • Imperva SecureSphere (Imperva) • Shadow Daemon Opensource (WAF) • Shield Security • Website Security SiteGuard (Lite) • SonicWALL Firewall (Dell) • Squid Proxy (IDS) • Stackpath WAF (StackPath) • Stingray Application Firewall (Riverbed/Brocade) • StrictHttpFirewall (WAF) • Sucuri Firewall (Sucuri Cloudproxy) • Teros Web Application Firewall (Citrix) • UEWaf (UCloud) • UrlScan (Microsoft) • Varnish/CacheWall WAF • Viettel WAF (Cloudrity) • Wallarm WAF • WatchGuard WAF • WebKnight Application Firewall (AQTRONIX) • IBM Security Access Manager (WebSEAL) • West236 Firewall • Wordfence (Feedjit) • WTS-WAF (Web Application Firewall) • Xuanwudun WAF • Yundun Web Application Firewall (Yundun) • Yunsuo Web Application Firewall (Yunsuo) • Zscaler Cloud Firewall (WAF) Các đối số sử dụng: Loại hình Đối số Tác dụng Đối số bắt buộc -h/ help In menu trợ giúp thoát, cờ mặc (Các đối số định cờ khác phải chuyển truyền để -u URL, url URL Chuyển URL để phát WhatWaf chạy) Đối số request biện pháp bảo vệ -b FILE-PATH, Chuyển tệp yêu cầu Burp Suite để thực burp FILE-PATH đánh giá WAF pa Chuyển User-Agent cá nhân dạng chuỗi (Các đối số để thay User-Agent mặc định Việc kiểm soát đảm bảo Tác nhân người dùng bạn có u cầu HTTP, định dạng hay khơng tùy thuộc header) vào bạn Vượt qua cờ lấy User-Agent ngẫu nhiên content/files/user_agents.txt, có tổng cộng 4.195 Tác nhân người dùng có sẵn để chọn proxy Vượt qua proxy để chạy phía sau Whatwaf tương thích với hầu hết loại proxy như: ➔ socks5 ➔ socks4 ➔ http ➔ https tor Chuyển cờ để sử dụng Tor làm proxy bạn Xin lưu ý điều yêu cầu bạn phải cài đặt Tor hệ thống chạy Nó cho Tor cổng 9050 cố gắng kết nối -p/ payloads Cung cấp payloads cho lần quét, payloads phân tách dấu phẩy VD: -p=”AND 1=1, OR 2=2” Bằng cách này, whatwaf xác định danh sách theo mẫu số chung pl Chuyển tệp văn có chứa trọng tải (một dịng) liệt kê tải trọng sử dụng tải cho yêu cầu phát Bạn nên chạy sau proxy sử dụng proxychains bạn định sử dụng phương pháp force-ssl Chuyển cờ buộc URL chạy sau HTTPS thay HTTP Tùy chọn mã -e PAYLOAD Mã hóa tải trọng cung cấp hóa TAMPER-SCRIPT- cách sử dụng tập lệnh giả mạo cung (Chúng kiểm LOAD-PATH, cấp soát việc mã encode PAYLOAD hóa trọng tải) TAMPER-SCRIPTLOAD-PATH -el PATH TAMPER- Mã hóa tệp chứa trọng tải (một SCRIPT-LOAD- dòng) cách chuyển đường dẫn PATH, đường dẫn tải encode-list PATH TAMPER-SCRIPTLOAD-PATH Tùy chọn đầu -F, format (Các đối số xử lý đầu ra) Đối số sở Định dạng đầu thành lệnh hiển thị -J, json Gửi đầu tới tệp JSON -Y, yaml Gửi đầu tới tệp YAML -C, csv Gửi đầu tới tệp CSV -c, url-cache Kiểm tra lại URL lưu vào liệu nhớ đệm csdl trước chạy chúng (Các đối số liên giúp tiết kiệm thời gian quét nhiều(mặc quan đến sở định false) liệu -uC, view-url- Hiển thị tất đệm URL bên WhatWafs) cache sở liệu, điều bao gồm netlock, giả mạo scipts, máy chủ web biện pháp bảo vệ xác định -pC, payload-cache Xem tất payloads lưu nhớ cache bên csdl -vC, view-cache Xem tất nhớ đệm csdl, thứ từ URL đến payloads export FILE-TYPE Xuất payloads mã hóa sang loại tệp cụ thể lưu chúng vào thư mục Các đối số khác verbose Chạy chế độ verbose, nhiều đầu (Không thuộc hide Ẩn banner chạy update Cập nhật WhatWaf lên phiên nhóm trên) save FILENAME Lưu payloads mã hóa vào tệp skip Bỏ qua kiểm tra vòng bỏ qua xác định tường lửa verify-num INT Thay đổi amount (5) – mặc định để xác minh thực khơng có mặt Waf III Các lab demo: Bài 1: Xác định tường lửa ứng dụng web tìm cách bypasses cho website https://apple.com Ảnh 9: Bài demo - website khai thác ➔ Sử dụng câu lệnh: python3 /whatwaf -u https://apple.com Ảnh 10: Bài demo - quét loại tường lửa dùng -> Website apple.com sử dụng loại tường lửa, Apache Generic Shadow Daemon Opensource Ảnh 11: Bài demo - whatwaf cho kết tường lửa sử dụng -> Ta tìm hướng khai thác qua tường lửa website apple.com ➔ Cách 1: giả mạo payload cách che dấu boolean với đối tác tượng trưng chúng ➔ Cách 2: giả mạo payload cách thay đổi không gian trọng tải thành ký tự trống ASCII ngẫu nhiên ➔ Cách 3: xáo trộn payload cách thay đổi không gian trọng tải thành hàm băm bị xáo trộn dòng ➔ Cách 4: xáo trộn payload cách thay đổi khoảng trắng trọng tải thành dấu gạch ngang kép ➔ Cách 5: xáo trộn payload cách thay đổi payload thành chữ hoa tương đương Ảnh 12: Bài demo - whatwaf đưa phương án vượt qua tường lửa Bài 2: Xác định tường loại tưởng lửa số website: • ebay.com Ảnh 13: Bài demo - website ebay ➔ Sử dụng câu lệnh: python3 /whatwaf -u https://ebay.com phát trang web sử dụng loại tường lửa Ảnh 14: Bài demo - ebay sử dụng akamai firewall ➔ Website sử dụng tường lửa Akamai • wise.com Ảnh 15: Bài demo - website wire ➔ Sử dụng câu lệnh: python3 /whatwaf -u https://wise.com phát trang web sử dụng loại tường lửa Ảnh 16: Bài demo - website wire sử dụng loại tường lửa ➔ Website sử dụng loại tường lửa Akamai Firewall CloudFlare Firewall IV So sánh, đánh giá: a) So sánh: • Những cơng cụ có tương tự, lựa chọn thay cho whatwaf Wafw00f: - Thường sử dụng để thu thập thông tin, kiểm tra xâm nhập, thăm dò đánh giá bảo mật: - Người dùng hướng đến công cụ chuyên gia bảo mật pentester - Đánh giá: Điểm mạnh mã nguồn cơng cụ có sẵn - Cài đặt: wafw00f hoạt động Linux, viết python Ảnh 17: Wafw00f example Wafpass: - Được sử dụng để bỏ qua WAF, kiểm thử ứng dụng kiểm thử phần mềm - Người dùng mục tiêu Wafpass nhà phát triển chuyên gia bảo mật - Đánh giá: Điểm mạnh phần mềm có sẵn - Wafpass hoạt động Linux, Windows MacOS Ảnh 18: Wafpass example XSStrike: - XSStrike công cụ dành cho người kiểm tra thâm nhập nhà phát triển để kiểm tra ứng dụng web - Nó qt ứng dụng web để tìm điểm yếu có tập lệnh nhiều trang web - Với công nghệ fuzzing riêng mình, tìm thấy vấn đề gặp - XSStrike phát diện tường lửa ứng dụng web (WAF) - Đánh giá: Điểm mạnh 5000 Github, số lượng phụ thuộc thấp, mã nguồn có sẵn - XSStrike hoạt động Linux Windows Ảnh 19: XSStrike example b) Đánh giá: - Whatwaf công cụ rà quét tường lửa ứng dụng web nâng cao - Nó dễ dùng, dễ dàng cài đặt có tính hiệu cao - Bộ cơng cụ hỗ trợ thực vượt qua tường lửa phong phú (mục II – phần 3: đối số sử dụng) - So với cơng cụ đồng dạng whatwaf phổ biến nhiều người sử dụng, mã nguồn mở miễn phí (một số tính nâng cao phải trả phí) cho tính để thăm dò ứng dụng web - Điểm yếu: Chỉ hoạt động Linux, khơng có phát hành github V Tài liệu tham khảo: • https://miloserdov.org/?p=6533 • https://en.kali.tools/?p=1603 • https://linuxsecurity.expert/tools/whatwaf/ • Google hình ảnh ... Global Host) • Alert Logic (SIEMless Threat Management) • AliYunDun (WAF) • Anquanbao Web Application Firewall (Anquanbao) • AnYu Web Application Firewall (Anyu Technologies) • Apache Generic • Armor... tường lửa 23 Ảnh 13: Bài demo - website ebay 23 Ảnh 14: Bài demo - ebay sử dụng akamai firewall 24 Ảnh 15: Bài demo - website wire 24 Ảnh 16: Bài demo - website wire... lọc yêu cầu gây nguy hiểm đến trang web • Do trang web sử dụng WAF, khai thác lỗ hổng trang web, chúng bị tường lửa ứng dụng web loại bỏ a) Sử dụng WAF có đảm bảo an tồn tuyệt đối cho website khơng?