JYso项目新增UTF-8 Overlong Encoding绕过WAF功能解析

背景概述

在Web应用安全领域，WAF（Web应用防火墙）作为防护SQL注入等攻击的关键组件，常依赖特征匹配进行防御。攻击者为绕过检测，会采用各种编码变形技术。近期，JYso项目（一款专注于Web安全测试的工具）新增了对UTF-8 Overlong Encoding（超长编码）技术的支持，该技术能有效混淆恶意负载，突破WAF规则匹配。

UTF-8 Overlong Encoding技术原理

UTF-8编码规范中，字符可通过多种字节序列表示。例如，ASCII字符"/"的正常编码为0x2F，但通过Overlong Encoding可被表示为：

• 0xC0 0xAF（2字节）
• 0xE0 0x80 0xAF（3字节）
  这些冗余编码在解码后仍等效于原字符，但会破坏WAF基于正则表达式的检测逻辑。例如，WAF可能直接匹配0x2F但忽略其超长编码形式。

JYso的实现意义

1. 自动化绕过：工具内置编码转换模块，用户输入的攻击向量（如SQL注入语句）会自动生成多种Overlong Encoding变体。
2. 兼容性处理：确保编码后的Payload在不同后端系统（如PHP/Java）中仍能被正确解码执行。
3. 组合利用：支持与其他混淆技术（如十六进制编码、注释插入）叠加使用，增强绕过效果。

技术示例

假设原始注入语句为：

admin' OR 1=1--

经JYso编码后可能变为：

%C0%AF%C0%AFadmin%E0%80%27%20%C0%8FR%20%E0%80%31%3D%E0%80%31%2D%2D

其中单引号、空格等关键字符被替换为多字节超长编码，而语义保持不变。

防御建议

1. WAF优化：采用规范化解码后再检测，而非直接匹配原始流量。
2. 深度防御：结合输入验证、参数化查询等措施，减少依赖单一防护层。
3. 日志分析：监控异常编码请求，尤其关注同一字符的多重编码形式。

总结

JYso此次更新反映了绕过技术与防护手段的持续对抗。安全开发者需理解编码底层原理，才能设计更健壮的防御机制。该功能不仅提升红队测试效率，也为蓝队提供了研究新型绕过手法的样本库。