浅谈WAF设备——WAF的过去和未来


相关说明

由我所创作的所有网络安全相关文章,为了更好的防御,会教授大家如何攻击,因为攻击就是最好的防御。但是如果你运用攻击手段去破坏网络的话,可能会让你遭受牢狱之灾。所以,所有的攻击手段请勿用于现实生活中。(《中华人民共和国网络安全法》了解一下?)
如果你觉得文章含有侵权部分,可以联系CSDN私聊,我会适当修改。
未经允许,不得转载,如需转载,请CSDN私聊。
图片来源于网络,如有侵权请联系删除。


引子

在没有WAF的那个年代,我们年少无知,在互联网上到处挖洞,那时候的程序员,小心谨慎,深怕代码有漏洞。各类网络黑产在互联网上放荡攻击…
直到有一天,这一切发生了改变。
WAF设备的产生,使得网站的安全系数提高,只需要点着下一步,就可以让网站免受攻击。例如安全狗,D盾等WAF产品。,他们拥有网马查杀,SQL注入攻击拦截,XSS拦截,黑客工具拦截等功能。
此后,如何绕过WAF也成为了黑客的必备技能。

WAF

Web Application Firewall,就是web应用防火墙,和我们的电脑杀毒软件差不多,只不过他是保护的是网站罢了。WAF的功能非常多,最主要的有以下几个功能:

  • SQL注入攻击拦截
  • 网马查杀和上传拦截
  • XSS保护
  • CMS漏洞拦截
  • 服务器软件漏洞防护
  • CC/DDOS攻击保护
    浅谈WAF设备——WAF的过去和未来_第1张图片
    简单来说,就是WAF检测到有电脑向网站发起恶意的攻击请求,就给你拦截。当然WAF是有一个引擎的,所以是有可能绕过的,这个在后面章节再说。
    上面的图就可以看到。

常见waf设备

目前,最常见的WAF设备是:安全狗,D盾和云锁。虽然360等安全大厂也有WAF设备,但是没有广泛运用。
浅谈WAF设备——WAF的过去和未来_第2张图片
(安全狗官网所展示的WAF功能)
被拦截后,安全狗所展示的界面:
浅谈WAF设备——WAF的过去和未来_第3张图片
目前,大多数的WAF都是用的安全狗,而大多数的黑客工具(诸如Sqlmap)都是国外开发的,对国内的WAF绕过没有支持,所以我奉劝各位脚本小子们:学学开发吧!
D盾和云锁次于安全狗,但是没有安全狗广泛,所以这里不多介绍。

WAF设备的绕过

黑客们会因为WAF而退缩吗?这是不可能的,迎难而上就是黑客的精神之一。
前面说到,WAF设备查杀木马是通过一个杀毒引擎来查杀的,那么WEBSHELL也有他的免杀方法。
我们看一下百度上的方法:
浅谈WAF设备——WAF的过去和未来_第4张图片
此外,WAF设备对防护SQL注入攻击也有一定的缺陷,因为他又一定的防护规则:
浅谈WAF设备——WAF的过去和未来_第5张图片
我们看到有非常多的绕过WAF相关文章,那么也就意味着:一个网站如果安装上WAF,他也不是绝对安全的,这是肯定的。
此外,一些黑客工具也有相关的过狗插件。大家都知道,sqlmap有一个叫做tamper的东西,黑客可以通过python脚本绕过防火墙,而网上也有非常多的过狗tamper:
浅谈WAF设备——WAF的过去和未来_第6张图片
所以,大家可以看到,WAF设备并不能绝对保证网站的安全,但是能够抵挡一些低级的脚本小子。
此外,WAF也有一定的误报概率,可能导致正常的业务无法继续。

从根源上保护网站

当一个网站绝对安全之后,其实根本不需要WAF设备,就能够保证网站的安全。做到以下几点:

  • 不在前端做安全措施(例如用JS过滤文件上传限制)
  • 对用户的所有可能输入的地方做过滤
  • 使用强密码
  • 加固服务器和Apache等发布软件的漏洞
  • 加固CMS漏洞
  • 做渗透测试

WAF设备的未来

(以下为个人观点,勿喷)
WAF设备的出现确实让很多小站长收益,不过WAF设备还有很多的路要走——例如WAF的误报率,WAF的缺陷等,目前,基于云计算的WAF——云WAF也会被广泛的运用。
浅谈WAF设备——WAF的过去和未来_第7张图片

WAF设备也会拦截较多的黑产攻击,当然所有的产品都具有反面性:例如当安全软件被黑产或不法分子利用后,同样也会阻挡我们的一些电子信息取证,这可能也是一个问题所在。

总结

就这样,一篇简短的文章就到这里写好了。总而言之,当我们做渗透测试项目时,如果遇到WAF,不要慌,要做到拿到手就会绕。防御者和站长也不要过度依赖WAF设备,一定从根源上保护网站。
另外提前预告一下,游戏开发栏目即将上线,主要是2D和3D游戏的简单开发。之后会发布在itch.io等网站上。
项目开发合作请联系我的邮箱[email protected].
感谢各位的观看,我们下期再见!

你可能感兴趣的:(网络,安全,xss,信息安全,web)