SpringBoot应用中绕过WAF检测的技术路径与实践分析

1. WAF基础拦截机制概述

Web应用防火墙（WAF）通常基于规则集（如ModSecurity CRS）、行为分析和机器学习模型对HTTP流量进行实时监控。在SpringBoot应用中，WAF会检查请求的URL、参数、请求头、Body内容等，识别SQL注入、XSS、命令执行等恶意模式。

• 关键字匹配：如SELECT、UNION、<script>
• 正则表达式规则：检测常见payload结构
• 异常行为：高频请求、非标准编码、非常规Content-Type
• 上下文感知：部分高级WAF支持语义解析，识别JSON中的恶意字段

然而，这些规则依赖于可预测的输入格式，为绕过提供了潜在空间。

2. SpringBoot参数绑定特性与攻击面扩展

SpringBoot通过@RequestParam、@RequestBody、@ModelAttribute等注解实现自动参数绑定，支持多种数据类型和嵌套对象。这一机制在提升开发效率的同时，也扩大了攻击入口。

例如，使用@RequestBody User user接收JSON时，攻击者可在JSON深层字段嵌入编码后的SQL片段。

3. 编码混淆技术实战

通过对payload进行Base64、Unicode、URL双重编码等方式，破坏WAF的静态签名匹配。

// 示例：构造Base64编码的XSS payload
String payload = "PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="; // <script>alert(1)</script>
// 在JSON中传递：
{
  "data": "PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="
}

某些WAF不会对Base64内容进行解码后检测，导致绕过。此外，Unicode转义如\u003cscript\u003e也可规避关键字过滤。

4. 分块传输编码（Chunked Encoding）绕过

HTTP/1.1支持分块传输，将请求体分割为多个chunk发送。部分WAF仅在完整body到达后才进行检测，若未启用流式分析，则可能遗漏中间chunk中的恶意内容。

SpringBoot默认支持分块读取，结合大chunk size或延迟发送，可增加WAF检测难度。

5. 非常规Content-Type与MIME混淆

将Content-Type设置为application/json而非application/x-www-form-urlencoded，可使部分WAF跳过表单字段检测逻辑。

POST /api/login HTTP/1.1
Host: target.com
Content-Type: application/json
Transfer-Encoding: chunked

{"username":"admin' OR 1=1--", "password":"pass"}

某些WAF对JSON内容解析不深，尤其当payload位于深层嵌套对象时，如：{"profile":{"bio":"<img src=x onerror=alert(1)>"}}。

6. 请求头伪造与协议级绕过

利用X-Forwarded-For、X-Originating-IP等头伪造源IP，规避基于IP的限速或黑名单机制。同时，修改User-Agent或添加冗余头可干扰WAF日志关联。

• X-Requested-With: XMLHttpRequest 模拟AJAX请求
• Accept: text/html,application/xhtml+xml 伪装正常浏览器
• 添加大量无意义头字段以稀释特征

结合SpringBoot的@RequestHeader绑定，还可测试头注入风险。