偶然發(fā)現(xiàn)兩個(gè)很小的網(wǎng)站居然有WAF，一些常規(guī)的入侵手法都會(huì)被攔截，不禁要感嘆，WAF真是個(gè)好東西。接下來一起認(rèn)識(shí)下這個(gè)好東西，看看有怎樣的攔截效果，以及在正式使用的時(shí)候需要注意的點(diǎn)。

Web應(yīng)用防護(hù)系統(tǒng)（也稱為：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。

英文：Web Application Firewall，簡稱：WAF）。

是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

WAF在審計(jì)、訪問控制和應(yīng)用加固方面能夠?yàn)榫W(wǎng)站提供較好的保護(hù)。在看一個(gè)網(wǎng)站能不能被入侵的時(shí)候，通常會(huì)先從網(wǎng)站本身下手，采用sql注入、文件上傳以及密碼暴力破解等手法，而WAF對這些手法都有所防備，所以入侵的難度增加了不少。

判斷網(wǎng)站有WAF的簡單方法

打開網(wǎng)站，使用瀏覽器的開發(fā)者工具或者是代理抓包，通過查看網(wǎng)址請求的數(shù)據(jù)可以判斷是否有WAF。

在響應(yīng)的headers頭文件里可以看到一個(gè)明顯的標(biāo)志。

暴力破解密碼被攔截

第一個(gè)網(wǎng)站，猜到了管理員后臺(tái)登錄的地址，而且登錄也沒有加驗(yàn)證碼，在嘗試了幾個(gè)常規(guī)的弱口令沒有成功，準(zhǔn)備用密碼字典來跑跑看。暴力破解的時(shí)候需要重復(fù)請求登錄驗(yàn)證地址，頻繁的請求被waf攔截，使得暴力破解無法順利開展。

文件上傳被攔截

第二個(gè)網(wǎng)站，找到了一處可以上傳頭像的地方，準(zhǔn)備通過上傳功能測試是否可以上傳個(gè)小馬到服務(wù)器上。打開BURPSUITE，啟用本地代理，瀏覽器設(shè)置本地代理，瀏覽器的請求可以在代理上攔截到，然后嘗試修改上傳到參數(shù)達(dá)到將小馬上傳到服務(wù)器上的目的。

將數(shù)據(jù)包里的filename="a.png"改為filename="a.aspx",然后發(fā)送請求，從返回的結(jié)果來看，本次上傳被WAF攔截了。經(jīng)過測試，這個(gè)網(wǎng)站W(wǎng)AF主要是根據(jù)上傳文件的后綴名進(jìn)行攔截，而沒有對上傳內(nèi)容和上傳文件的MIME類型進(jìn)行攔截。上傳腳本文件的操作是高風(fēng)險(xiǎn)的操作，能夠攔截到高風(fēng)險(xiǎn)的操作，已經(jīng)可以了。

SQL注入

在這兩個(gè)網(wǎng)站上都沒有找到SQL注入的點(diǎn)，但毫無疑問的是，只要請求參數(shù)里包含了SQL注入語句，都會(huì)被攔截。

上面的三類高風(fēng)險(xiǎn)操作能被攔截，使得網(wǎng)站的安全性有來大大的提升，有些時(shí)候雖然網(wǎng)站應(yīng)用程序本身有一些漏洞，好在前面有一層WAF，這些漏洞也不會(huì)威脅到服務(wù)器端的安全。因此，有條件的情況下，盡量給自己的web應(yīng)用買這個(gè)防護(hù)服務(wù)。

另外再說一下WAF的局限性。

WAF不是萬能保險(xiǎn)的，基于策略的防護(hù)方式都有相應(yīng)的繞過手法，比如上面寫到的文件上傳，在知道是根據(jù)文件的后綴名進(jìn)行攔截的時(shí)候，可以使用相應(yīng)的手法進(jìn)行繞過，也就是說仍然可以將上傳文件的后綴名改成可執(zhí)行腳本的后綴名然后成功上傳，在這種情況下，如果應(yīng)用程序本身有漏洞，依然可以將木馬上傳到服務(wù)器，對服務(wù)器形成威脅。

WAF是一種安全防護(hù)產(chǎn)品，是個(gè)好東西，但只能起到防護(hù)作用，而且是被動(dòng)防御的那種，應(yīng)用程序本身的漏洞以及安全配置的問題還是要注意的。千萬不要以為有了安全防護(hù)產(chǎn)品就萬無一失了。

?

總結(jié)

以上是生活随笔為你收集整理的WAF果真是个好东西的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。