點擊上方藍字關注“汪宇杰博客”

導語

還記得之前給大家介紹過的《使用 Azure Web 應用防火墻攔截黑客攻擊》嗎？今天我又帶來了一個有趣的 Azure WAF 小技巧，可以讓你爽一把。

好奇的黑客

今天 Azure Application Insights 上發現了一段集中時間的404錯誤，點進去一看，是有人正在請求我博客根目錄下不存在的資源導致的。

觀察 pattern 后發現這些請求在嘗試下載我博客的網站目錄。看起來都是這樣的：

還有這樣的：

以及更搞笑的拼音：

甚至還有想要盜竊源代碼的（大哥，我這是個開源的系統啊）：

起初我以為是個自動掃描網站漏洞的機器人，但是根據 Azure Application Insights 提供的詳細數據以及 WAF 日志發現，這些請求并不是幾秒內發生的，而是相隔2-5秒請求，不像機器人，來源地是中國某港。

大哥，不是所有的大陸人都是用百度云把網站目錄同步到服務器上解壓部署的……

于是我決定逗他玩玩。

整人方案

目前網站對于這些找不到的文件只會返回404，太沒意思了。想要玩轉黑客，可以有這么幾種做法：

蜜罐

“

蜜罐通常偽裝成看似有利用價值的網絡、資料、電腦系統，并故意設置了bug，用來吸引黑客攻擊。由于蜜罐事實上并未對網絡提供任何有價值的服務，所以任何對蜜罐的嘗試都是可疑的。蜜罐中還可能裝有監控軟件，用以監控黑客入侵后的舉動。

蜜罐在拖延黑客攻擊真正目標上也有一定作用。不過黑客可能發現一個電腦系統是蜜罐，進而提前退出。

”

架設蜜罐的成本較高，我不想996，因此放棄此方案。

假數據

一個簡易版蜜罐。例如對于 beifen.zip，返回一個真實的zip文件，文件內容看似網站代碼，但其實無關。讓黑客996于代碼的海洋中無法自拔。

也可以在假zip中設置幾個關卡，例如弱口令，當黑客996暴力破解后，發現里面是一萬個 fuck.txt，氣暈在廁所。

這個方案對于網站服務器或CDN的帶寬資源有所消耗，黑客被氣到后，可能批量請求 beifen.zip 榨干我的流量，因此放棄。

Exploit

如果你的技術高超，完全可以做個exploit，黑客一旦打開 beifen.zip 就會執行代碼，從而變成你的肉雞。這時候，給他執行個滅霸腳本，豈不爽歪歪？

https://github.com/hotvulcan/Thanos.sh

可惜我沒有那樣的本領，無奈放棄此方案。

重定向

有些服務器對于惡意請求，會重定向到 127.0.0.1 或者 localhost，從而將黑客的攻擊還治其人之身。

但更有意思的是，我們可以重定向準備好的羞辱頁面，甚至其他網站。這是成本最低的羞辱方案，說干就干！

能點鼠標的，絕不寫代碼

盡管我們可以通過修改網站代碼來實現針對 *.zip, *.rar, *.7z 等資源進行重定向，但作為使用 Azure 的有錢人，能點鼠標實現的，我絕對不會自己996寫代碼。

Azure WAF 可以幫助我們1分鐘就配置完重定向操作，不需要修改任何代碼，不需要重新部署網站。這才是有錢人的風格。

進入 WAF 管理界面，進入 Settings 下的 Custom rules，然后點擊 + Add custom rule

給它一個名稱，例如 BlockZip。Status 選 Enabled，Rule type 選 Match。Priority 給一個未被其他 rule 使用的值即可。

Condition 是該規則的觸發條件。我們需要匹配所有 *.7z, *.rar, *.tar.gz, *.zip 的請求，配置如下：

最后的動作中，我選擇 Redirect traffic，將URL設為一個友好的百度百科頁面。

保存規則，WAF 數分鐘后就會生效。

效果

現在訪問 https://edi.wang/beifen.zip 試試？

發現請求結果不再是 404，而是302重定向，并且header里給出了Azure WAF的日志參考ID。

而重定向后的頁面就是：

黑客只能氣暈在廁所。

哎，有錢人的云，就是可以為所欲為的。

汪宇杰博客

Azure | .NET |?微軟 MVP

無廣告，不賣課，做純粹的技術公眾號

喜歡本篇內容請點個在看

總結

以上是生活随笔為你收集整理的使用 Azure WAF 羞辱黑客的智商的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。