偶然發現兩個很小的網站居然有WAF，一些常規的入侵手法都會被攔截，不禁要感嘆，WAF真是個好東西。接下來一起認識下這個好東西，看看有怎樣的攔截效果，以及在正式使用的時候需要注意的點。

Web應用防護系統（也稱為：網站應用級入侵防御系統。

英文：Web Application Firewall，簡稱：WAF）。

是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

WAF在審計、訪問控制和應用加固方面能夠為網站提供較好的保護。在看一個網站能不能被入侵的時候，通常會先從網站本身下手，采用sql注入、文件上傳以及密碼暴力破解等手法，而WAF對這些手法都有所防備，所以入侵的難度增加了不少。

判斷網站有WAF的簡單方法

打開網站，使用瀏覽器的開發者工具或者是代理抓包，通過查看網址請求的數據可以判斷是否有WAF。

在響應的headers頭文件里可以看到一個明顯的標志。

暴力破解密碼被攔截

第一個網站，猜到了管理員后臺登錄的地址，而且登錄也沒有加驗證碼，在嘗試了幾個常規的弱口令沒有成功，準備用密碼字典來跑跑看。暴力破解的時候需要重復請求登錄驗證地址，頻繁的請求被waf攔截，使得暴力破解無法順利開展。

文件上傳被攔截

第二個網站，找到了一處可以上傳頭像的地方，準備通過上傳功能測試是否可以上傳個小馬到服務器上。打開BURPSUITE，啟用本地代理，瀏覽器設置本地代理，瀏覽器的請求可以在代理上攔截到，然后嘗試修改上傳到參數達到將小馬上傳到服務器上的目的。

將數據包里的filename="a.png"改為filename="a.aspx",然后發送請求，從返回的結果來看，本次上傳被WAF攔截了。經過測試，這個網站WAF主要是根據上傳文件的后綴名進行攔截，而沒有對上傳內容和上傳文件的MIME類型進行攔截。上傳腳本文件的操作是高風險的操作，能夠攔截到高風險的操作，已經可以了。

SQL注入

在這兩個網站上都沒有找到SQL注入的點，但毫無疑問的是，只要請求參數里包含了SQL注入語句，都會被攔截。

上面的三類高風險操作能被攔截，使得網站的安全性有來大大的提升，有些時候雖然網站應用程序本身有一些漏洞，好在前面有一層WAF，這些漏洞也不會威脅到服務器端的安全。因此，有條件的情況下，盡量給自己的web應用買這個防護服務。

另外再說一下WAF的局限性。

WAF不是萬能保險的，基于策略的防護方式都有相應的繞過手法，比如上面寫到的文件上傳，在知道是根據文件的后綴名進行攔截的時候，可以使用相應的手法進行繞過，也就是說仍然可以將上傳文件的后綴名改成可執行腳本的后綴名然后成功上傳，在這種情況下，如果應用程序本身有漏洞，依然可以將木馬上傳到服務器，對服務器形成威脅。

WAF是一種安全防護產品，是個好東西，但只能起到防護作用，而且是被動防御的那種，應用程序本身的漏洞以及安全配置的問題還是要注意的。千萬不要以為有了安全防護產品就萬無一失了。

?

總結

以上是生活随笔為你收集整理的WAF果真是个好东西的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。