浅谈WAF设备——WAF的过去和未来

---

相关说明

由我所创作的所有网络安全相关文章，为了更好的防御，会教授大家如何攻击，因为攻击就是最好的防御。但是如果你运用攻击手段去破坏网络的话，可能会让你遭受牢狱之灾。所以，所有的攻击手段请勿用于现实生活中。（《中华人民共和国网络安全法》了解一下？）
如果你觉得文章含有侵权部分，可以联系CSDN私聊，我会适当修改。
未经允许，不得转载，如需转载，请CSDN私聊。
图片来源于网络，如有侵权请联系删除。

---

引子

在没有WAF的那个年代，我们年少无知，在互联网上到处挖洞，那时候的程序员，小心谨慎，深怕代码有漏洞。各类网络黑产在互联网上放荡攻击…
直到有一天，这一切发生了改变。
WAF设备的产生，使得网站的安全系数提高，只需要点着下一步，就可以让网站免受攻击。例如安全狗，D盾等WAF产品。，他们拥有网马查杀，SQL注入攻击拦截，XSS拦截，黑客工具拦截等功能。
此后，如何绕过WAF也成为了黑客的必备技能。

WAF

Web Application Firewall，就是web应用防火墙，和我们的电脑杀毒软件差不多，只不过他是保护的是网站罢了。WAF的功能非常多，最主要的有以下几个功能：

• SQL注入攻击拦截
• 网马查杀和上传拦截
• XSS保护
• CMS漏洞拦截
• 服务器软件漏洞防护
• CC/DDOS攻击保护
  
  简单来说，就是WAF检测到有电脑向网站发起恶意的攻击请求，就给你拦截。当然WAF是有一个引擎的，所以是有可能绕过的，这个在后面章节再说。
  上面的图就可以看到。

常见waf设备

目前，最常见的WAF设备是：安全狗，D盾和云锁。虽然360等安全大厂也有WAF设备，但是没有广泛运用。

（安全狗官网所展示的WAF功能）
被拦截后，安全狗所展示的界面：

目前，大多数的WAF都是用的安全狗，而大多数的黑客工具（诸如Sqlmap）都是国外开发的，对国内的WAF绕过没有支持，所以我奉劝各位脚本小子们：学学开发吧！
D盾和云锁次于安全狗，但是没有安全狗广泛，所以这里不多介绍。

WAF设备的绕过

黑客们会因为WAF而退缩吗？这是不可能的，迎难而上就是黑客的精神之一。
前面说到，WAF设备查杀木马是通过一个杀毒引擎来查杀的，那么WEBSHELL也有他的免杀方法。
我们看一下百度上的方法：

此外，WAF设备对防护SQL注入攻击也有一定的缺陷，因为他又一定的防护规则：

我们看到有非常多的绕过WAF相关文章，那么也就意味着：一个网站如果安装上WAF，他也不是绝对安全的，这是肯定的。
此外，一些黑客工具也有相关的过狗插件。大家都知道，sqlmap有一个叫做tamper的东西，黑客可以通过python脚本绕过防火墙，而网上也有非常多的过狗tamper：

所以，大家可以看到，WAF设备并不能绝对保证网站的安全，但是能够抵挡一些低级的脚本小子。
此外，WAF也有一定的误报概率，可能导致正常的业务无法继续。

从根源上保护网站

当一个网站绝对安全之后，其实根本不需要WAF设备，就能够保证网站的安全。做到以下几点：

• 不在前端做安全措施（例如用JS过滤文件上传限制）
• 对用户的所有可能输入的地方做过滤
• 使用强密码
• 加固服务器和Apache等发布软件的漏洞
• 加固CMS漏洞
• 做渗透测试

WAF设备的未来

（以下为个人观点，勿喷）
WAF设备的出现确实让很多小站长收益，不过WAF设备还有很多的路要走——例如WAF的误报率，WAF的缺陷等，目前，基于云计算的WAF——云WAF也会被广泛的运用。

WAF设备也会拦截较多的黑产攻击，当然所有的产品都具有反面性：例如当安全软件被黑产或不法分子利用后，同样也会阻挡我们的一些电子信息取证，这可能也是一个问题所在。

总结

就这样，一篇简短的文章就到这里写好了。总而言之，当我们做渗透测试项目时，如果遇到WAF，不要慌，要做到拿到手就会绕。防御者和站长也不要过度依赖WAF设备，一定从根源上保护网站。
另外提前预告一下，游戏开发栏目即将上线，主要是2D和3D游戏的简单开发。之后会发布在itch.io等网站上。
项目开发合作请联系我的邮箱[email protected].
感谢各位的观看，我们下期再见！