腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

综合排序丨最热优先丨最新优先

WAF专题1--WAF功能

WAF全称叫Web Application Firewall，和传统防火墙的区别是，它是工作在应用层的防火墙，主要对web请求/响应进行防护。那么WAF有什么功能呢？防火墙都是防御性的产品，有防就有攻，要了解WAF有什么功能，就要从攻击者的角度去思考。攻击的目的要么是为了利益，要么是为了炫技。目前攻击者大多都是闷声发大财，很少会为了炫技而惹上麻烦。

血狼debugeeker

2019-06-14

2.5K0

标签:

WAF的介绍与WAF绕过原理

WAF 是什么？全称 Web Application Firewall (WEB 应用防护系统)，与传统的 Firewall (防火墙) 不同，WAF 针对的是应用层。渗透测试过程中，WAF 是必定会遇到的，如何绕过 WAF 就是一个问题。 WAF 绕过的手段千变万化，分为 3 类白盒绕过黑核绕过 Fuzz绕过以下以 SQL 注入过程绕 WAF 为例列举需要的知识点。黑盒绕过架构层绕过 WAF 寻找源站（针对云 WAF）利用同网段（绕过防护区域：例如WAF部署在同一网段的出口，使用网段的主机进行攻击，流量不经过WAF 。） WAF是如何防护的？“ WAF基于对http请求的分析，识别恶意行为，执行相关的阻断、记录、放行等”。 WAF如何分析http请求？

2019-11-11

6.7K0

标签:

云数据库 SQL Server

正则表达式

WAF专题2--WAF部署模式

WAF也是防火墙，那么它应该是部署在哪里呢？在部署上，它和传统防火墙有什么区别呢？传统防火墙处理的消息格式大多是格式化，基本上内容都是固定或者索引方式。而WAF处理的消息是文本，是非格式化消息，都是可变的。在处理这两种不同的消息格式，在性能上的消耗相差非常大。

血狼debugeeker

2019-06-14

2.5K0

标签:

正则表达式

WAF专题3--WAF工作模式

由于WAF一般和业务系统是串联的，并且还是部署在业务系统前面。如果采用反向代理部署模式，假设WAF出现故障，那么会导致单个或者多个站点不可用。这意味着WAF的功能必须是随时可以关闭的。一个WAF往往需要同时防护多个站点，如果把整个WAF关闭，是会导致整体业务群都失去保护。所以，WAF的工作模式必须有对站点有随时关闭的模式。

血狼debugeeker

2019-06-14

2.3K0

标签:

BUG赏金 | Unicode与WAF—XSS WAF绕过

图片来源于网络通过标题，您可能会知道这是有关使用UNICODE进行 XSS WAF绕过的文章。因此，让我们给你一个关于我正在测试的应用程序的小想法。因此，存在WAF。为了绕开它，我开始模糊测试，结果是： xss \" onclick= \" alert(1) ==> WAF xss \" xss = \" alert(1) ==> WAF xss 因此，我们唯一的方法是绕过WAF 在<a>标记中使用事件属性。我尝试通过fuzzdb使用html-event-attributes.txt 进行暴力破解。以看看是否有事件没有被WAF阻止然而并没有什么有值得关注的。然后我考虑了一下进行unicode编码，输入了一个随机的unicode看看它在响应中是否解码。

2019-12-23

2.5K0

标签:

在这篇文章中，我们将深入探讨WAF的工作原理、分类、特点和实现方式，以及如何选择和部署WAF，以帮助读者更好地理解WAF的功能和应用。一、WAF的工作原理 WAF可以通过对Web应用程序的流量进行过滤和监控，识别并阻止潜在的安全威胁。二、WAF的分类 WAF可以在多个层次对Web应用程序进行保护。常见的WAF包括以下几种：硬件WAF：硬件WAF通常是一种独立设备，它可以与网络交换机、路由器等设备集成，拦截来自外部网络的流量，并对Web应用程序进行保护。云WAF：云WAF通常是一种基于云的服务，可以将Web应用程序的流量转发到云端进行处理。云WAF可以提供全球分布的节点，从而提高Web应用程序的可用性和性能。

ICT系统集成阿祥

2024-12-03

2.4K0

标签:

雷池WAF与宝塔云WAF技术对比

/cloud_waf目录中。宝塔云WAF的部署模式同样采用反向代理架构，流量首先抵达堡塔云WAF，经过检测和过滤后，再转发给后端的源站服务器。宝塔云WAF要求环境隔离的特性使其更适合专用WAF服务器部署模式。三、服务器配置与资源占用分析在实际部署环境中，服务器配置与资源占用是影响WAF性能表现和成本效益的关键因素。雷池WAF与宝塔云WAF在资源需求方面呈现出明显差异，这直接关系到用户的实际部署选择。雷池WAF与宝塔云WAF在管理界面设计、操作流程和运维便利性方面展现出截然不同的设计哲学和实现方式。️

2025-10-31

1.8K0

标签:

Web 应用防火墙

WAF专题6--WAF规则与报表

规则配置首先，WAF规则的定义是什么？从前面的内容可以看到，基本上，WAF处理http分为四个阶段：请求头部，请求内容，响应头部，响应内容。那么WAF规则就是，定义在某个阶段WAF对符合某种条件的http请求执行指定动作的条例。根据这个，WAF规则必须要包含这些元素：过滤条件，阶段，动作由于http消息在传输过程中会对数据进行某种编码，所以，WAF规则往往也需要定义解码器。同时为了审计作用，WAF规则往往定义id，是否对结果记录，以及字段抽取，命中规则的严重级别所以，一条WAF规则往往包含：id, 解码器，过滤条件，阶段，动作和日志格式，严重级别

血狼debugeeker

2019-06-14

2.2K0

标签:

看图识WAF-搜集常见WAF拦截页面

(4) 宝塔网站防火墙下列5、6、7、8、10、11配图有误 (6) 护卫神 (7) 网站安全狗 (8) 智创防火墙 (9) 360主机卫士或360webscan (10) 西数WTS-WAF (11) Naxsi WAF (12) 腾讯云 (13) 腾讯宙斯盾 (14) 百度云 (15) 华为云 (16) 网宿云 (17) 创宇盾 (18) 玄武盾 (19) 阿里云盾 (20) 360网站卫士 (21) 奇安信网站卫士 (22) 安域云WAF (23) 铱讯WAF (24) 长亭SafeLine (25) 安恒明御WAF (26) F5 BIG-IP (27) Mod_Security (28) OpenRASP (29) dotDefender (30) 未知云WAF 参考链接 https://www.mad-coding.cn/2019 /12/19/waf的识别与绕过（不断补充）

Ms08067安全实验室

2022-09-26

3.5K0

标签:

WAF产品经理眼中比较理想的WAF

WAF简介 WAF（Web Application Firewall，简称:WAF）,百度百科上的定义，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品传统WAF的不足 WAF在不少安全公司都是重要产品线，究其原因我认为有三个：第一，绝大多数互联网公司没有足够的专职安全人员负责安全，解决安全问题是第一刚需，WAF作为入门级产品帮助企业抵御了常见的攻击行为 https普及后，流量审计想记录也记录不了了，只能表示遗憾我理想中的WAF 首先声明，我理想中的WAF部分功能有的厂商在做了，完全实现的还没有，如果另外一个WAF产品经理说他们都实现了挑战我，我还是直接认怂算了协同能力这个我很看中，因为WAF不是万金油，也不可能包打天下，再牛逼也可能被绕过，但是WAF的卡位很好，位于网路边界，特别适合做隔离操作，比如hids发现webshell，协同WAF阻断访问；数据库审计发现拖库或者敏感操作协同 WAF阻断（这个还依赖WAF和数据库联动分析，将http会话和SQL操作关联）等。

2018-02-09

4.1K0

标签: