WAF果真是个好东西

偶然发现两个很小的网站居然有WAF，一些常规的入侵手法都会被拦截，不禁要感叹，WAF真是个好东西。接下来一起认识下这个好东西，看看有怎样的拦截效果，以及在正式使用的时候需要注意的点。

Web应用防护系统（也称为：网站应用级入侵防御系统。

英文：Web Application Firewall，简称：WAF）。

是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF在审计、访问控制和应用加固方面能够为网站提供较好的保护。在看一个网站能不能被入侵的时候，通常会先从网站本身下手，采用sql注入、文件上传以及密码暴力破解等手法，而WAF对这些手法都有所防备，所以入侵的难度增加了不少。

判断网站有WAF的简单方法

打开网站，使用浏览器的开发者工具或者是代理抓包，通过查看网址请求的数据可以判断是否有WAF。

在响应的headers头文件里可以看到一个明显的标志。

暴力破解密码被拦截

第一个网站，猜到了管理员后台登录的地址，而且登录也没有加验证码，在尝试了几个常规的弱口令没有成功，准备用密码字典来跑跑看。暴力破解的时候需要重复请求登录验证地址，频繁的请求被waf拦截，使得暴力破解无法顺利开展。

文件上传被拦截

第二个网站，找到了一处可以上传头像的地方，准备通过上传功能测试是否可以上传个小马到服务器上。打开BURPSUITE，启用本地代理，浏览器设置本地代理，浏览器的请求可以在代理上拦截到，然后尝试修改上传到参数达到将小马上传到服务器上的目的。

将数据包里的filename="a.png"改为filename="a.aspx",然后发送请求，从返回的结果来看，本次上传被WAF拦截了。经过测试，这个网站WAF主要是根据上传文件的后缀名进行拦截，而没有对上传内容和上传文件的MIME类型进行拦截。上传脚本文件的操作是高风险的操作，能够拦截到高风险的操作，已经可以了。

SQL注入

在这两个网站上都没有找到SQL注入的点，但毫无疑问的是，只要请求参数里包含了SQL注入语句，都会被拦截。

上面的三类高风险操作能被拦截，使得网站的安全性有来大大的提升，有些时候虽然网站应用程序本身有一些漏洞，好在前面有一层WAF，这些漏洞也不会威胁到服务器端的安全。因此，有条件的情况下，尽量给自己的web应用买这个防护服务。

另外再说一下WAF的局限性。

WAF不是万能保险的，基于策略的防护方式都有相应的绕过手法，比如上面写到的文件上传，在知道是根据文件的后缀名进行拦截的时候，可以使用相应的手法进行绕过，也就是说仍然可以将上传文件的后缀名改成可执行脚本的后缀名然后成功上传，在这种情况下，如果应用程序本身有漏洞，依然可以将木马上传到服务器，对服务器形成威胁。

WAF是一种安全防护产品，是个好东西，但只能起到防护作用，而且是被动防御的那种，应用程序本身的漏洞以及安全配置的问题还是要注意的。千万不要以为有了安全防护产品就万无一失了。