「網路安全基礎知識」什麼是WEF繞過？WEF又是被如何繞過的呢？

【網路安全基礎知識】什麼是

WEF

繞過？

WEF又是被如何繞過的呢？

什麼是

WEF

繞過？

與傳統的

Firewall （防火牆） 不同，WAF 針對的是應用層

，

WAF

是

Web應用防火牆，Web Application Firewall的簡稱

，

透過執行一系列針對

HTTP/HTTPS的安全策略來專門為Web應用提供保護的產品。WAF可以發現和攔截各類Web層面的攻擊，記錄攻擊日誌，實時預警提醒，在Web應用本身存在缺陷的情況下保障其安全。

也

是

一款集網站內容安全防護、網站資源安全防護及流量保護功能為一體的伺服器工具。為使用者提供實時網站安全防護，避免各類針對網站的攻擊帶來的危害。

WEF又是被如何繞過的呢？

在實際的滲透測試過程中，經常會碰到網站存在

WAF的情況。網站存在WAF，意味著我們不能使用安全工具對網站進行測試，因為一旦觸碰了WAF的規則，輕則丟棄報文，重則拉黑IP。所以，我們需要手動進行WAF的繞過，而繞過WAF前肯定需要對WAF 的工作原理有一定的理解。

首先，

WAF分為非嵌入型WAF和嵌入型WAF，非嵌入型WAF指的是硬體型WAF、雲WAF、軟體型WAF之類的；而嵌入型WAF指的是網站內建的WAF。非嵌入型WAF對Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web資料是已經被解析加工好的。所以非嵌入型的受攻擊機面還涉及到其他層面，而嵌入型WAF從Web容器模組型WAF、程式碼層WAF往下走，其對抗畸形報文、騷操作繞過的能力越來越強。當然，在部署維護成本方面，也是越高的。