首頁 > 遊戲
「網路安全基礎知識」什麼是WEF繞過?WEF又是被如何繞過的呢?
由 網盾網路安全 發表于 遊戲2023-01-09
簡介所以非嵌入型的受攻擊機面還涉及到其他層面,而嵌入型WAF從Web容器模組型WAF、程式碼層WAF往下走,其對抗畸形報文、騷操作繞過的能力越來越強
查證識別是什麼意思
【網路安全基礎知識】什麼是
WEF
繞過?
WEF又是被如何繞過的呢?
什麼是
WEF
繞過?
與傳統的
Firewall (防火牆) 不同,WAF 針對的是應用層
,
WAF
是
Web應用防火牆,Web Application Firewall的簡稱
,
透過執行一系列針對
HTTP/HTTPS的安全策略來專門為Web應用提供保護的產品。WAF可以發現和攔截各類Web層面的攻擊,記錄攻擊日誌,實時預警提醒,在Web應用本身存在缺陷的情況下保障其安全。
也
是
一款集網站內容安全防護、網站資源安全防護及流量保護功能為一體的伺服器工具。為使用者提供實時網站安全防護,避免各類針對網站的攻擊帶來的危害。
WEF又是被如何繞過的呢?
在實際的滲透測試過程中,經常會碰到網站存在
WAF的情況。網站存在WAF,意味著我們不能使用安全工具對網站進行測試,因為一旦觸碰了WAF的規則,輕則丟棄報文,重則拉黑IP。所以,我們需要手動進行WAF的繞過,而繞過WAF前肯定需要對WAF 的工作原理有一定的理解。
首先,
WAF分為非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬體型WAF、雲WAF、軟體型WAF之類的;而嵌入型WAF指的是網站內建的WAF。非嵌入型WAF對Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web資料是已經被解析加工好的。所以非嵌入型的受攻擊機面還涉及到其他層面,而嵌入型WAF從Web容器模組型WAF、程式碼層WAF往下走,其對抗畸形報文、騷操作繞過的能力越來越強。當然,在部署維護成本方面,也是越高的。