以前我发表过几篇利用编码技术绕过WAF的文章。在文章中我不仅介绍了绕过WAF的方法，还明确指出WAF产品可以通过拦截特定的字符集或者只允许在Content-Type中使用白名单中的charset来使绕过方法无效。

Content-Type charset x-up-devcap-post-charset charset Content-Type

现在就让我正式介绍x-up-devcap-post-charset，使用样例如下：

x-up-devcap-post-charset POST /test/a.aspx?%C8%85%93%93%96%E6%96%99%93%84= HTTP/1.1 Host: target User-Agent: UP foobar Content-Type: application/x-www-form-urlencoded x-up-devcap-post-charset: ibm500 Content-Length: 40 %89%95%97%A4%A3%F1=%A7%A7%A7%A7%A7%A7%A7

如上所示，Content-Type请求头中没有charset，x-up-devcap-post-charset表明了编码使用的字符集。此外，为了告诉ASP.NET注意这个新的请求头，User-Agent的值需要以UP作为开头！

Content-Type charset x-up-devcap-post-charset User-Agent UP

上述请求中的被编码的参数我是通过Burp Suite HTTP Smuggler自动生成的，原始请求如下：

POST /testme87/a.aspx?HelloWorld= HTTP/1.1 Host: target User-Agent: UP foobar Content-Type: application/x-www-form-urlencoded Content-Length: 14 input1=xxxxxxx

我之所以会发现这个特殊的请求头，是我在ASP.NET的框架代码中寻找其他东西时无意发现的。以下是ASP.NET中和这个请求头有关的一段代码，它展示了ASP.NET在查看Content-Type中的charset之前如何读取内容编码：

Content-Type charset https://github.com/Microsoft/referencesource/blob/3b1eaf5203992df69de44c783a3eda37d3d4cd10/System/net/System/Net/HttpListenerRequest.cs#L362 https://github.com/Microsoft/referencesource/blob/08b84d13e81cfdbd769a557b368539aac6a9cb30/System.Web/HttpRequest.cs#L905

我觉得我发现的这个编码绕过技术应该适用于大多数WAF，因为我感觉它们没有认真对待这个绕过技术。当然，OWASP ModSecurity核心规则集（CRS）很快就会为它创建一个专门的过滤规则。在我发布这篇文章之前，已经向CRS的Christian Folini（@ChrFolini）展示了技术细节。新规则将出现在https://github.com/SpiderLabs/owasp-modsecurity-crs/pull/1392。

https://github.com/SpiderLabs/owasp-modsecurity-crs/pull/1392

参考文献：

https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2017/八月/request-encoding-to-bypass-web-application-firewalls/

https://www.slideshare.net/SoroushDalili/waf-bypass-technologies-using-http-standard-and-web-servers-behavior

https://soroush.secproject.com/blog/2018/08/waf-bypass-technologies-using-http-standard-and-web-servers-behavior/

https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2017/九月/rare-aspnet-request-validation-bypass-using-request-encoding/

https://github.com/nccgroup/burpsuitehttp走私者/

感谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场 来源：https://soroush.secproject.com/blog/2019/05/x-up-devcap-post-charset-header-in-aspnet-to-bypass-wafs-again/