什么是WAF绕过?它又是如何被绕过的?老男孩网络安全培训班

老男孩IT教育

行业新闻

2022年12月22日 09:04

相信对网络安全有一定的同学一定听到过WAF绕过这个名词，什么是WAF绕过？它又是如何被绕过的？以下是详细的内容：

网络安全培训

什么是WAF绕过？

与传统的Firewall (防火墙) 不同，WAF针对的是应用层，它是Web应用防火墙，全称为Web Application Firewall，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品。

WAF可以发现和拦截各类Web层面的攻击，记录攻击日志，实时预警提醒，在Web应用本身存在缺陷的情况下保障其安全。也是一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护，避免各类针对网站的攻击带来的危害。

WAF又是如何被绕过的呢？

在实际的渗透测试过程中，经常会碰到网站存在WAF的情况。网站存在WAF，意味着我们不能使用安全工具对网站进行测试，因为一旦触碰了WAF的规则，轻则丢弃报文，重则拉黑IP。所以，需要手动进行WAF的绕过，而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。

首先，WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的；而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、骚操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。

网络安全培训班正在招生中，更多网络安全课程信息，欢迎咨询老男孩教育在线客服，可免费申请试听学习视频和教学大纲，了解网络安全学习路线。

　　 推荐阅读：

服务器安全都包括哪些方面?老男孩网络安全培训机构

防火墙的基本功能有哪些?老男孩网络安全培训机构

网站被挂马了该如何解决?老男孩渗透测试培训机构