安全设备篇——WAF

WAF（Web应用层防火墙），顾名思义，既然带着个防火墙，就是阻断型的安全设备了。Waf也是常见的安全设备之一，用于暴露面web的防护，刚好前段时间很多博主也在狂吹雷池，这篇文章刚好借着雷池就探讨一下WAF这类安全设备的应用。

• 雷池WAF测试

随手开个http，雷池后台挂个代理：（截图有些是后边补的，端口对不上是正常的）

经典1=1：

拦截正常

冰蝎马路径：

这里只有php、aspx马子会被拦截，要是换个jsp或者别的又能访问到了。不过也正常，这是waf而已又不是终端安全设备。

再加个Dirsearch扫一下目录：

但是这里比较雷的事情发生了：

别的帖子用awvs扫会阻拦，我这懒得开工具机就拿goby浅浅试了试（1000+poc版），没有拦截，只记录的访问数，但是可以后台设置访问数过大拦截的，也算找补回来了吧，毕竟那么多扫描器，各种大杀器小玩具，拦截一开就图一乐。

这里也放上后台的攻击拦截：

这期主要是解读解读waf，也不过分研究雷池的功能呢，总的来说确实是很不错的项目，算是市面上很优秀的waf了，对中小型web来说实用性极高，防护到位，清晰明了、简单，不像某些花里胡哨的厂家的设备（我谁也没有说！），光注重了界面的华丽，实则一塌糊涂...

言归正传，从以上测试可以看出，WAF功能为拦截web端的攻击。

• 攻击类型

• 注入型攻击

绝大部分的waf主要拦截的攻击类型为注入型攻击。SQL注入依赖提交参数的过滤不严格

，这类攻击waf通过检查参数就能分辨，很多师傅发现可能存在的SQL注入漏洞后最头疼的也是绕waf。另一个例子是xss，xss离不开标签和<>,对正常需求的web来说一般不会在输入框内有这样的需求，也是比较容易能识别出来的一类攻击。

• 请求检查（head或者cookie一类包含在请求头内的）

这类防护主要针对请求路径、cookie、甚至请求方法和代理等进行检查来辨识威胁。

• 规则库

Waf实际上也是包含了IDS模型的，通过规则库进行威胁防护，而waf的规则库一般分为预置规则库和自定义规则库两种：

• 预置规则库

由厂家预置的攻击判断规则，说简单点网上那些什么SQL注入payload、xss语句、一句话木马这种谁都知道的肯定包括在里面了，一般也是不断更新的，现在厂家都有自己的威胁情报来源，从安全性上来说还是相对可靠的。

• 自定义规则库

主要针对自身需求，假客户的web是完全外包开发，自身无修改代码的能力，但是确认某个参数或者框框、请求等存在漏洞，这时候加个自定义规则就可以做限制了，安全又省事儿。

• 黑/白名单

因为预置规则库肯定是不可能完全不出错的，很有可能就误报拦截了某个业务IP，临时加白是解决措施之一；黑名单就不用多说了，发现威胁IP即封禁，也是防止预置规则库未生效的后手手段之一，这也是waf的黑白名单和防火墙的黑白名单区别之一。

• 总结

这期没有总结，over。