偶然發(fā)現(xiàn)兩個很小的網(wǎng)站居然有WAF，一些常規(guī)的入侵手法都會被攔截，不禁要感嘆，WAF真是個好東西。接下來一起認識下這個好東西，看看有怎樣的攔截效果，以及在正式使用的時候需要注意的點。

Web應用防護系統(tǒng)（也稱為：網(wǎng)站應用級入侵防御系統(tǒng)。

英文：Web Application Firewall，簡稱：WAF）。

是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品。

WAF在審計、訪問控制和應用加固方面能夠為網(wǎng)站提供較好的保護。在看一個網(wǎng)站能不能被入侵的時候，通常會先從網(wǎng)站本身下手，采用sql注入、文件上傳以及密碼暴力破解等手法，而WAF對這些手法都有所防備，所以入侵的難度增加了不少。

判斷網(wǎng)站有WAF的簡單方法

打開網(wǎng)站，使用瀏覽器的開發(fā)者工具或者是代理抓包，通過查看網(wǎng)址請求的數(shù)據(jù)可以判斷是否有WAF。

在響應的headers頭文件里可以看到一個明顯的標志。

暴力破解密碼被攔截

第一個網(wǎng)站，猜到了管理員后臺登錄的地址，而且登錄也沒有加驗證碼，在嘗試了幾個常規(guī)的弱口令沒有成功，準備用密碼字典來跑跑看。暴力破解的時候需要重復請求登錄驗證地址，頻繁的請求被waf攔截，使得暴力破解無法順利開展。

文件上傳被攔截

第二個網(wǎng)站，找到了一處可以上傳頭像的地方，準備通過上傳功能測試是否可以上傳個小馬到服務器上。打開BURPSUITE，啟用本地代理，瀏覽器設置本地代理，瀏覽器的請求可以在代理上攔截到，然后嘗試修改上傳到參數(shù)達到將小馬上傳到服務器上的目的。

將數(shù)據(jù)包里的filename="a.png"改為filename="a.aspx",然后發(fā)送請求，從返回的結(jié)果來看，本次上傳被WAF攔截了。經(jīng)過測試，這個網(wǎng)站W(wǎng)AF主要是根據(jù)上傳文件的后綴名進行攔截，而沒有對上傳內(nèi)容和上傳文件的MIME類型進行攔截。上傳腳本文件的操作是高風險的操作，能夠攔截到高風險的操作，已經(jīng)可以了。

SQL注入

在這兩個網(wǎng)站上都沒有找到SQL注入的點，但毫無疑問的是，只要請求參數(shù)里包含了SQL注入語句，都會被攔截。

上面的三類高風險操作能被攔截，使得網(wǎng)站的安全性有來大大的提升，有些時候雖然網(wǎng)站應用程序本身有一些漏洞，好在前面有一層WAF，這些漏洞也不會威脅到服務器端的安全。因此，有條件的情況下，盡量給自己的web應用買這個防護服務。

另外再說一下WAF的局限性。

WAF不是萬能保險的，基于策略的防護方式都有相應的繞過手法，比如上面寫到的文件上傳，在知道是根據(jù)文件的后綴名進行攔截的時候，可以使用相應的手法進行繞過，也就是說仍然可以將上傳文件的后綴名改成可執(zhí)行腳本的后綴名然后成功上傳，在這種情況下，如果應用程序本身有漏洞，依然可以將木馬上傳到服務器，對服務器形成威脅。

WAF是一種安全防護產(chǎn)品，是個好東西，但只能起到防護作用，而且是被動防御的那種，應用程序本身的漏洞以及安全配置的問題還是要注意的。千萬不要以為有了安全防護產(chǎn)品就萬無一失了。

?

總結(jié)

以上是生活随笔為你收集整理的WAF果真是个好东西的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。