HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG & AN TỒN MẠNG Đề tài: Tìm hiểu kali tool - WhatWaf Nhóm học phần: Nhóm 02 Thứ tự lớp: 06 Họ tên: Nguyễn Văn Đức Anh Mã sinh viên: B18DCAT009 MỤC LỤC I GIỚI THIỆU, LỊCH SỬ HÌNH THÀNH: .4 A) WAF LÀ GÌ? B) GIỚI THIỆU: C) LỊCH SỬ HÌNH THÀNH: .9 II CÀI ĐẶT, HƯỚNG DẪN SỬ DỤNG: 11 CÀI ĐẶT: 11 SỬ DỤNG: 13 a) Các nét đặc trưng WhatWaf: 13 b) Danh sách WAF, hệ thống bảo mật ứng dụng web hỗ trợ nhận dạng: (89) 14 CÁC ĐỐI SỐ KHI SỬ DỤNG: .17 III CÁC BÀI LAB DEMO: 21 BÀI 1: XÁC ĐỊNH TƯỜNG LỬA CỦA ỨNG DỤNG WEB VÀ TÌM CÁCH BYPASSES CHO WEBSITE HTTPS://APPLE.COM 21 BÀI 2: XÁC ĐỊNH TƯỜNG LOẠI TƯỞNG LỬA CỦA MỘT SỐ WEBSITE: 23 IV SO SÁNH, ĐÁNH GIÁ: 26 A) SO SÁNH: 26 Wafw00f: .26 Wafpass: 27 XSStrike: .28 B) ĐÁNH GIÁ: 29 V TÀI LIỆU THAM KHẢO: 30 Chú thích hình ảnh Ảnh 1: Quét WAFW00F tool .5 Ảnh 2: Quét identYwaf tool Ảnh 3: Quét identYwaf tool .7 Ảnh 4: Giao diện tương tác WhatWaf Ảnh 5: Tác giả thành tựu github whatwaf Ảnh 6: Cài đặt whatwaf kali linux 11 Ảnh 7: Cài đặt whatwaf kali linux 12 Ảnh 8: Cài đặt whatwaf kali linux 12 Ảnh 9: Bài demo - website khai thác 21 Ảnh 10: Bài demo - quét loại tường lửa dùng .21 Ảnh 11: Bài demo - whatwaf cho kết tường lửa sử dụng 22 Ảnh 12: Bài demo - whatwaf đưa phương án vượt qua tường lửa 23 Ảnh 13: Bài demo - website ebay 23 Ảnh 14: Bài demo - ebay sử dụng akamai firewall 24 Ảnh 15: Bài demo - website wire 24 Ảnh 16: Bài demo - website wire sử dụng loại tường lửa 25 Ảnh 17: Wafw00f example 26 Ảnh 18: Wafpass example 27 Ảnh 19: XSStrike example 28 I Giới thiệu, lịch sử hình thành: a) WAF gì?  WAF – Web Application Firewall, tường lửa ứng dụng web chương trình phân tích yêu cầu đến máy chủ web dựa quy tắc, lọc yêu cầu gây nguy hiểm đến trang web  Do trang web sử dụng WAF, khai thác lỗ hổng trang web, chúng bị tường lửa ứng dụng web loại bỏ a) Sử dụng WAF có đảm bảo an tồn tuyệt đối cho website khơng?  Trên thực tế, với WAF (cũng nhiều giải pháp bảo mật khác), để WAF có hiệu quả, phải cấu hình Một số WAF khơng làm sau cài đặt, tất quy tắc lọc chưa cấu hình  Theo quan điểm WAF, ‘bảo vệ’ lý tưởng khơng có u cầu gửi đến máy chủ web – an tồn tuyệt đối khơng sử dụng  Nếu ta bật tất quy tắc WAF, máy chủ web ngừng hoạt động, hầu hết yêu cầu đến máy chủ coi ‘có khả nguy hiểm’  Do đó, lập trình viên người tìm cân việc: website hoạt động WAF hiệu Để làm điều này, lập trình viên phải hiểu rõ hoạt động website, hiểu rõ cách thức cơng vào web site tin tặc Nó khó, lý tưởng thật  Đây lý ta thâm nhập trái phép, nguy hiểm vào website website bảo vệ tường lửa Nhưng WAF đảm nhiểm vai trò kiểm tra an ninh cho website bạn, ngăn chặn lỗ hổng thường gặp b) Một số công cụ dùng để phát WAF:  Các WAF khác có lọc khác có tập rules khác Vì vậy, việc xác định loại tường lửa quan trọng Do đó, ta sử dụng cơng cụ để tìm loại tường lửa sử dụng  WAFW00F: tool dùng để phát nhanh loại WAF cho website cụ thể o Nó quét trang web thông qua proxy o Hỗ trợ định đạng đầu vào đầu csv, json text Ảnh 1: Quét WAFW00F tool  Chương trình chạy nhanh đơn giản, phát WAF tốt Nhưng thực tế khơng thể thay đổi User-Agent, đơi chương trình khơng thể xác định dc WAF lý máy chủ từ chối yêu cầu công cụ với User-Agent mặc định  identYwaf: chương trình dễ sử dụng mạnh mẽ khác Nó nhận dạng WAF dựa phản hồi máy chủ Hơn công cụ thực truy vấn bổ sung để xác định danh mục lỗ hổng mà WAF nhắm mục tiêu  Sau hồn tất qt, cơng cụ đưa ước tính (theo phần trăm) độ phức tạp việc khai thác lỗ hổng (nếu có)  Chương trình phát 80 loại sản phẩm bảo vệ khác Ảnh 2: Quét identYwaf tool Ảnh 3: Quét identYwaf tool  WhatWaf: chủ đề viết này, tìm hiểu kỹ cơng cụ phần b) Giới thiệu:  WhatWaf công cụ phát bảo mật ứng dụng web nâng cao nhằm mục đích tìm thông tin tường lửa website dành cho pentesters  WhatWaf quét trang web cho biết máy chủ web có sử dụng WAF – Web Application Firewall hay không, loại  Whatwaf cố gắng xác định tường lửa hệ thống phát danh sách cung cấp địa số ít, ứng dụng web, sau tường lửa xác định, whatwaf thử số kỹ thuật giả mạo xuất mơ tả, ví dụ đường dẫn tải kỹ thuật thành công Ảnh 4: Giao diện tương tác WhatWaf c) Lịch sử hình thành: Ảnh 5: Tác giả thành tựu github whatwaf  WhatWaf tạo nhóm nhỏ gồm người đam mê lập trình viên với người từ cộng đồng OpenSource  WhatWaf khơng địi hỏi q nhiều kinh phí để nghiên cứu phát triển thơng tin có sẵn trực tuyến (WAF code, WAF name, …)  Về WhatWaf miễn phí, có số tính nâng cao cần phải trả phí để sử dụng Từ phiên 2.0, công cụ khai thác CPU XMR tích hợp sẵn  Lịch sử: Thời điểm Sự kiện 15/12/2017 WhatWaf mắt lần đầu 20/12/2017 WhatWaf giới thiệu Kitploit lần 21/12/2017 WhatWaf bắt đầu thịnh hành danh sách Python Github vị trí thứ 22/12/2017 Whatwaf nằm danh sách thịnh hành GitHub 24 27/12/2017 Whatwaf giới thiệu trang facebook "The Hacker News" lần 28/12/2017 Whatwaf bắt đầu thịnh hành trở lại, vị trí thứ ba 21/02/2018 Whatwaf xếp hạng thứ năm mười dự án python nguồn mở hàng đầu 19/03/2018 WhatWaf đạt 660 Github Tháng / 2018 WhatWaf đưa danh sách top 10 khác 09/08/2018 WhatWaf truy cập 726 bắt đầu Github 15/12/2018 Whatwaf tròn tuổi 12/02/2019 Whatwaf đạt 1k Whatwaf đứng thứ 16 bảng 34 amazing python libraries 23/09/2019 WhatWaf đạt 1300 II Cài đặt, hướng dẫn sử dụng: Cài đặt:  Bước 1:  Mở root terminal emulator                                        Open Source Web Application Firewall (Modsecurity) Mod Security (OWASP CSR) NexusGuard Security (WAF) Nginx Generic Protection Palo Alto Firewall (Palo Alto Networks) Anti Bot Protection (PerimeterX) pkSecurityModule (IDS) Powerful Firewall (MyBB plugin) Radware (AppWall WAF) RSFirewall (Joomla WAF) Sabre Firewall (WAF) SafeDog WAF (SafeDog) SecuPress (WordPress WAF) Imperva SecureSphere (Imperva) Shadow Daemon Opensource (WAF) Shield Security Website Security SiteGuard (Lite) SonicWALL Firewall (Dell) Squid Proxy (IDS) Stackpath WAF (StackPath) Stingray Application Firewall (Riverbed/Brocade) StrictHttpFirewall (WAF) Sucuri Firewall (Sucuri Cloudproxy) Teros Web Application Firewall (Citrix) UEWaf (UCloud) UrlScan (Microsoft) Varnish/CacheWall WAF Viettel WAF (Cloudrity) Wallarm WAF WatchGuard WAF WebKnight Application Firewall (AQTRONIX) IBM Security Access Manager (WebSEAL) West236 Firewall Wordfence (Feedjit) WTS-WAF (Web Application Firewall) Xuanwudun WAF Yundun Web Application Firewall (Yundun) Yunsuo Web Application Firewall (Yunsuo) Zscaler Cloud Firewall (WAF) Các đối số sử dụng: Loại hình Đối số Tác dụng Đối số bắt buộc -h/ help In menu trợ giúp thoát, cờ mặc (Các đối số định khơng có cờ khác phải -u URL, url URL chuyển Chuyển URL để phát -b FILE-PATH, biện pháp bảo vệ Chuyển tệp yêu cầu Burp Suite để thực burp FILE-PATH đánh giá WAF pa Chuyển User-Agent cá nhân dạng chuỗi truyền để WhatWaf chạy) Đối số request (Các đối số để thay User-Agent mặc định Việc kiểm soát đảm bảo Tác nhân người dùng bạn có yêu cầu HTTP, định dạng hay không tùy thuộc header) vào bạn Vượt qua cờ lấy User-Agent ngẫu nhiên content/files/user_agents.txt, có tổng cộng 4.195 Tác nhân người dùng proxy có sẵn để chọn Vượt qua proxy để chạy phía sau Whatwaf tương thích với hầu hết loại proxy như: tor  socks5  socks4  http  https Chuyển cờ để sử dụng Tor làm proxy bạn Xin lưu ý điều yêu cầu bạn phải cài đặt Tor hệ thống chạy Nó cho Tor -p/ payloads cổng 9050 cố gắng kết nối Cung cấp payloads cho lần quét, payloads phân tách dấu phẩy VD: -p=”AND 1=1, OR 2=2” Bằng cách này, whatwaf xác định danh sách theo mẫu số chung pl Chuyển tệp văn có chứa trọng tải (một dịng) liệt kê tải trọng sử dụng tải cho yêu cầu phát Bạn nên chạy sau proxy sử dụng proxychains bạn định sử dụng force-ssl phương pháp Chuyển cờ buộc URL chạy sau HTTPS thay HTTP Tùy chọn mã -e PAYLOAD Mã hóa tải trọng cung cấp hóa TAMPER-SCRIPT- cách sử dụng tập lệnh giả mạo cung (Chúng kiểm LOAD-PATH, cấp sốt việc mã encode PAYLOAD hóa trọng tải) TAMPER-SCRIPTLOAD-PATH -el PATH TAMPER- Mã hóa tệp chứa trọng tải (một SCRIPT-LOAD- dòng) cách chuyển đường dẫn PATH, đường dẫn tải encode-list PATH TAMPER-SCRIPTTùy chọn đầu LOAD-PATH -F, format Định dạng đầu thành lệnh hiển thị (Các đối số xử -J, json Gửi đầu tới tệp JSON lý đầu ra) -Y, yaml Gửi đầu tới tệp YAML -C, csv Gửi đầu tới tệp CSV -c, url-cache Kiểm tra lại URL lưu vào Đối số sở liệu nhớ đệm csdl trước chạy chúng (Các đối số liên giúp tiết kiệm thời gian quét nhiều(mặc quan đến sở định false) liệu -uC, view-url- Hiển thị tất đệm URL bên WhatWafs) cache sở liệu, điều bao gồm netlock, giả mạo scipts, máy chủ web biện -pC, payload-cache pháp bảo vệ xác định Xem tất payloads lưu -vC, view-cache nhớ cache bên csdl Xem tất nhớ đệm csdl, export FILE-TYPE thứ từ URL đến payloads Xuất payloads mã hóa sang loại tệp cụ thể lưu chúng vào Các đối số khác verbose thư mục Chạy chế độ verbose, nhiều đầu (Không thuộc hide Ẩn banner chạy update Cập nhật WhatWaf lên phiên save FILENAME Lưu payloads mã hóa vào nhóm trên) tệp skip Bỏ qua kiểm tra vòng bỏ qua xác định tường lửa verify-num INT Thay đổi amount (5) – mặc định để xác minh thực khơng có mặt Waf III Các lab demo: Bài 1: Xác định tường lửa ứng dụng web tìm cách bypasses cho website https://apple.com Ảnh 9: Bài demo - website khai thác  Sử dụng câu lệnh: python3 /whatwaf -u https://apple.com Ảnh 10: Bài demo - quét loại tường lửa dùng -> Website apple.com sử dụng loại tường lửa, Apache Generic Shadow Daemon Opensource Ảnh 11: Bài demo - whatwaf cho kết tường lửa sử dụng -> Ta tìm hướng khai thác qua tường lửa website apple.com  Cách 1: giả mạo payload cách che dấu boolean với đối tác tượng trưng chúng  Cách 2: giả mạo payload cách thay đổi không gian trọng tải thành ký tự trống ASCII ngẫu nhiên  Cách 3: xáo trộn payload cách thay đổi không gian trọng tải thành hàm băm bị xáo trộn dòng  Cách 4: xáo trộn payload cách thay đổi khoảng trắng trọng tải thành dấu gạch ngang kép  Cách 5: xáo trộn payload cách thay đổi payload thành chữ hoa tương đương Ảnh 12: Bài demo - whatwaf đưa phương án vượt qua tường lửa Bài 2: Xác định tường loại tưởng lửa số website:  ebay.com Ảnh 13: Bài demo - website ebay  Sử dụng câu lệnh: python3 /whatwaf -u https://ebay.com phát trang web sử dụng loại tường lửa Ảnh 14: Bài demo - ebay sử dụng akamai firewall  Website sử dụng tường lửa Akamai  wise.com Ảnh 15: Bài demo - website wire  Sử dụng câu lệnh: python3 /whatwaf -u https://wise.com phát trang web sử dụng loại tường lửa Ảnh 16: Bài demo - website wire sử dụng loại tường lửa  Website sử dụng loại tường lửa Akamai Firewall CloudFlare Firewall IV So sánh, đánh giá: a) So sánh:  Những công cụ có tương tự, lựa chọn thay cho whatwaf Wafw00f: - Thường sử dụng để thu thập thơng tin, kiểm tra xâm nhập, thăm dị đánh giá bảo mật: - Người dùng hướng đến công cụ chuyên gia bảo mật pentester - Đánh giá: Điểm mạnh mã nguồn công cụ có sẵn - Cài đặt: wafw00f hoạt động Linux, viết python Ảnh 17: Wafw00f example Wafpass: - Được sử dụng để bỏ qua WAF, kiểm thử ứng dụng kiểm thử phần mềm - Người dùng mục tiêu Wafpass nhà phát triển chuyên gia bảo mật - Đánh giá: Điểm mạnh phần mềm có sẵn - Wafpass hoạt động Linux, Windows MacOS Ảnh 18: Wafpass example XSStrike: - XSStrike công cụ dành cho người kiểm tra thâm nhập nhà phát triển để kiểm tra ứng dụng web - Nó quét ứng dụng web để tìm điểm yếu có tập lệnh nhiều trang web - Với cơng nghệ fuzzing riêng mình, tìm thấy vấn đề gặp - XSStrike phát diện tường lửa ứng dụng web (WAF) - Đánh giá: Điểm mạnh 5000 Github, số lượng phụ thuộc thấp, mã nguồn có sẵn - XSStrike hoạt động Linux Windows Ảnh 19: XSStrike example b) Đánh giá: - Whatwaf công cụ rà quét tường lửa ứng dụng web nâng cao - Nó dễ dùng, dễ dàng cài đặt có tính hiệu cao - Bộ công cụ hỗ trợ thực vượt qua tường lửa phong phú (mục II – phần 3: đối số sử dụng) - So với cơng cụ đồng dạng whatwaf phổ biến nhiều người sử dụng, mã nguồn mở miễn phí (một số tính nâng cao phải trả phí) cho tính để thăm dò ứng dụng web - Điểm yếu: Chỉ hoạt động Linux, khơng có phát hành github V Tài liệu tham khảo: https://miloserdov.org/?p=6533 https://en.kali.tools/?p=1603  https://linuxsecurity.expert/tools/whatwaf/  Google hình ảnh   ... (SIEMless Threat Management)  AliYunDun (WAF)                                            Anquanbao Web Application Firewall (Anquanbao) AnYu Web Application... qua tường lửa 23 Ảnh 13: Bài demo - website ebay 23 Ảnh 14: Bài demo - ebay sử dụng akamai firewall 24 Ảnh 15: Bài demo - website wire 24 Ảnh 16: Bài demo - website wire... lọc yêu cầu gây nguy hiểm đến trang web  Do trang web sử dụng WAF, khai thác lỗ hổng trang web, chúng bị tường lửa ứng dụng web loại bỏ a) Sử dụng WAF có đảm bảo an tồn tuyệt đối cho website không?