老男孩教育专注IT教育10余年,只培养IT技术精英

全国免费咨询电话(渠道合作):400-609-2893

什么是WAF绕过?它又是如何被绕过的?老男孩网络安全培训班

老男孩IT教育

行业新闻

2022年12月22日 09:04

相信对网络安全有一定的同学一定听到过WAF绕过这个名词,什么是WAF绕过?它又是如何被绕过的?以下是详细的内容:

       相信对网络安全有一定的同学一定听到过WAF绕过这个名词,什么是WAF绕过?它又是如何被绕过的?以下是详细的内容:

网络安全培训

       什么是WAF绕过?

       与传统的Firewall (防火墙) 不同,WAF针对的是应用层,它是Web应用防火墙,全称为Web Application Firewall,通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品。

       WAF可以发现和拦截各类Web层面的攻击,记录攻击日志,实时预警提醒,在Web应用本身存在缺陷的情况下保障其安全。也是一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护,避免各类针对网站的攻击带来的危害。

       WAF又是如何被绕过的呢?

       在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。

       首先,WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面,而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、骚操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。

       网络安全培训班正在招生中,更多网络安全课程信息,欢迎咨询老男孩教育在线客服,可免费申请试听学习视频和教学大纲,了解网络安全学习路线。

   推荐阅读:

       服务器安全都包括哪些方面?老男孩网络安全培训机构

       防火墙的基本功能有哪些?老男孩网络安全培训机构

       网站被挂马了该如何解决?老男孩渗透测试培训机构

本文经授权发布,不代表老男孩教育立场。如若转载请联系原作者。