概述
现在的一些网站,网站管理员自己不会做防护,也不清楚自己的代码水平如何,也不关心有没有漏洞,这个时候就出现了WAF,WAF是web应用程序防火墙,一般可分为 :软waf和硬waf,waf有免费的(安全狗等),还有一些中间件(宝塔,阿里云盾)都是防御一些基础的攻击:sql注入等
那我们在做渗透测试时,遇到waf要绕过,但前提是这个waf版本比较老,就可以搜索如何利用一些注释或url编码还有双重编码来绕过waf的限制
绕过waf限制不能盲目的绕过,可以对waf进行识别,然后在有针对性的、精确的绕过
作用
waf ==> web application firewall
用于保护网站,防止黑客或防止网络攻击的安全防护系统
效果非常明显,也是最直接的web安全防护产品
功能
防止常见的各类网络攻击
sql注入
通过sql指令插入到web表单提交或输入域名再或者页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令