點擊上方藍字關注“汪宇傑博客”
導語
還記得之前給大家介紹過的《使用 Azure Web 應用防火牆攔截黑客攻擊》嗎?今天我又帶來了一個有趣的 Azure WAF 小技巧,可以讓你爽一把。
好奇的黑客
今天 Azure Application Insights 上發現了一段集中時間的404錯誤,點進去一看,是有人正在請求我博客根目錄下不存在的資源導致的。
觀察 pattern 後發現這些請求在嘗試下載我博客的網站目錄。看起來都是這樣的:
還有這樣的:
以及更搞笑的拼音:
甚至還有想要盜竊源代碼的(大哥,我這是個開源的系統啊):
起初我以爲是個自動掃描網站漏洞的機器人,但是根據 Azure Application Insights 提供的詳細數據以及 WAF 日誌發現,這些請求並不是幾秒內發生的,而是相隔2-5秒請求,不像機器人,來源地是中國某港。
大哥,不是所有的大陸人都是用百度雲把網站目錄同步到服務器上解壓部署的……
於是我決定逗他玩玩。
整人方案
目前網站對於這些找不到的文件只會返回404,太沒意思了。想要玩轉黑客,可以有這麼幾種做法:
蜜罐
“
蜜罐通常僞裝成看似有利用價值的網絡、資料、電腦系統,並故意設置了bug,用來吸引黑客攻擊。由於蜜罐事實上並未對網絡提供任何有價值的服務,所以任何對蜜罐的嘗試都是可疑的。蜜罐中還可能裝有監控軟件,用以監控黑客入侵後的舉動。
蜜罐在拖延黑客攻擊真正目標上也有一定作用。不過黑客可能發現一個電腦系統是蜜罐,進而提前退出。
”架設蜜罐的成本較高,我不想996,因此放棄此方案。
假數據
一個簡易版蜜罐。例如對於 beifen.zip,返回一個真實的zip文件,文件內容看似網站代碼,但其實無關。讓黑客996於代碼的海洋中無法自拔。
也可以在假zip中設置幾個關卡,例如弱口令,當黑客996暴力破解後,發現裏面是一萬個 fuck.txt,氣暈在廁所。
這個方案對於網站服務器或CDN的帶寬資源有所消耗,黑客被氣到後,可能批量請求 beifen.zip 榨乾我的流量,因此放棄。
Exploit
如果你的技術高超,完全可以做個exploit,黑客一旦打開 beifen.zip 就會執行代碼,從而變成你的肉雞。這時候,給他執行個滅霸腳本,豈不爽歪歪?
https://github.com/hotvulcan/Thanos.sh
可惜我沒有那樣的本領,無奈放棄此方案。
重定向
有些服務器對於惡意請求,會重定向到 127.0.0.1 或者 localhost,從而將黑客的攻擊還治其人之身。
但更有意思的是,我們可以重定向準備好的羞辱頁面,甚至其他網站。這是成本最低的羞辱方案,說幹就幹!
能點鼠標的,絕不寫代碼
儘管我們可以通過修改網站代碼來實現針對 *.zip, *.rar, *.7z 等資源進行重定向,但作爲使用 Azure 的有錢人,能點鼠標實現的,我絕對不會自己996寫代碼。
Azure WAF 可以幫助我們1分鐘就配置完重定向操作,不需要修改任何代碼,不需要重新部署網站。這纔是有錢人的風格。
進入 WAF 管理界面,進入 Settings 下的 Custom rules,然後點擊 + Add custom rule
給它一個名稱,例如 BlockZip。Status 選 Enabled,Rule type 選 Match。Priority 給一個未被其他 rule 使用的值即可。
Condition 是該規則的觸發條件。我們需要匹配所有 *.7z, *.rar, *.tar.gz, *.zip 的請求,配置如下:
最後的動作中,我選擇 Redirect traffic,將URL設爲一個友好的百度百科頁面。
保存規則,WAF 數分鐘後就會生效。
效果
現在訪問 https://edi.wang/beifen.zip 試試?
發現請求結果不再是 404,而是302重定向,並且header裏給出了Azure WAF的日誌參考ID。
而重定向後的頁面就是:
黑客只能氣暈在廁所。
哎,有錢人的雲,就是可以爲所欲爲的。
汪宇傑博客
Azure | .NET | 微軟 MVP
無廣告,不賣課,做純粹的技術公衆號
喜歡本篇內容請點個在看