【网络安全基础知识】什么是WAF绕过？WAF又是被如何绕过的呢？

最后更新：2023.01.10

【网络安全基础知识】什么是WAF绕过？WAF又是被如何绕过的呢？

什么是WAF绕过？

与传统的 Firewall (防火墙) 不同，WAF 针对的是应用层，WAF是Web应用防火墙，Web Application Firewall的简称，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品。WAF可以发现和拦截各类Web层面的攻击，记录攻击日志，实时预警提醒，在Web应用本身存在缺陷的情况下保障其安全。也是一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护，避免各类针对网站的攻击带来的危害。

WAF又是被如何绕过的呢？

在实际的渗透测试过程中，经常会碰到网站存在WAF的情况。网站存在WAF，意味着我们不能使用安全工具对网站进行测试，因为一旦触碰了WAF的规则，轻则丢弃报文，重则拉黑IP。所以，我们需要手动进行WAF的绕过，而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。

首先，WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的；而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、骚操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。

- END -

552