一、WAF工作原理与功能介绍

Web应用防火墙（WAF）是专为Web应用提供保护的产品，通过执行一系列针对HTTP/HTTPS的安全策略来确保Web应用的安全性。常见的系统攻击分为利用Web服务器漏洞的攻击和利用网页自身安全漏洞的攻击。为了应对这些攻击，WAF应运而生。

什么是WAF？

WAF是Web应用防火墙（Web Application Firewall）的简称。它检测并验证来自Web应用程序客户端的请求内容，确保请求的安全性与合法性。对于非法的请求，WAF会实时阻断，为Web应用提供防护。它也被称为应用防火墙，是网络安全纵深防御体系里重要的一环。WAF属于检测型及纠正型防御控制措施，主要有硬件WAF、软件WAF（如ModSecurity）和云WAF三种类型。

WAF如何工作？

WAF通过对请求内容进行规则匹配、行为分析等方式来识别恶意行为。一旦识别出恶意行为，WAF会执行相应的动作，如阻断、记录、告警等。

WAF的主要功能：

1. 网马木马主动防御及查杀：采用特征码+启发式引擎的查杀算法，对网页木马和网页挂马进行扫描，WEB木马检出率大于90%。

2. 流量监控：实时监测每个网站的进出流量和总流量，以及每个应用程序池及网站的CPU占用情况。

3. 网站漏洞防御：拦截GET、POST、COOKIES等方式的SQL注入，以及XSS注入等行为。

4. 危险组件防护：全面拦截恶意代码对组件的调用权限，保护网站安全。

5. .Net安全保护：快捷设置.Net安全模式，保障网站安全。

6. 双层防盗链：针对不同站点设置防盗链的过滤，防止资源被滥用。

7. 防下载保护：支持对特定资源的防下载保护，防止敏感资料泄露。

8. CC攻击防护：采用独特抗攻击算法，有效防御CC攻击和流量攻击。

9. 网站流量保护：控制下载流量和线程，提高服务器性能。

10. IP黑白名单：设置个性化的IP信任列表，屏蔽或允许指定IP访问，增加临时黑名单功能，实现针对特定功能的白名单功能，同时提供爬虫信任机制。

二、市场WAF分类

当前市场上的WAF产品主要可分为硬件WAF、软件WAF和云WAF三类。

1. 硬件WAF：如绿盟、启明、安恒、知道创宇、天融信等。它们通常被串行部署在Web服务器前端，通过代理技术检测并阻断异常流量。

2. 软件WAF：如安全狗、云锁、中间件自带的Waf模块、D盾等。软件WAF安装在需要防护的服务器上，通常通过监听端口或以Web容器扩展方式进行请求检测和阻断。

3. 云WAF：也被称为WEB应用防火墙的云模式。这种模式的WAF不需要用户在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护。主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先被发送到云端节点进行检测，异常请求被拦截，否则请求将被转发至真实服务器。 三、WAF（Web应用防火墙）绕过方法探索

一、Burp安装WAF模块操作指南

1. 首先打开插件扩展面板，定位至BApp Store。

2. 寻找Bypass WAF项目选项，进入会议界面。

3. 在会话处理规则中，选择添加新规则以定制你的绕过策略。

二、用户代理（User-Agent）伪造策略

通过伪造百度、谷歌等搜索引擎的用户代理头，或伪装成白名单内的特殊目录，有时可以伪装成百度等搜索引擎的User-Agent来绕过WAF。这种策略利用的是WAF对特定User-Agent的识别机制。

三、编码绕过策略

将SQL语句进行编码处理，可以有效绕过WAF的检测。这种策略基于WAF对某些编码形式的语句不敏感的原理。

四、修改请求方式绕过

如果WAF默认只针对GET请求进行拦截，那么可以通过使用POST方式传输数据来绕过WAF。这种策略利用的是WAF的默认规则漏洞。

五、复合参数绕过技巧

利用参数拆分和组合的方式绕过WAF。例如，一个GET请求可以通过特定的参数组合方式来规避检测。如：将`GET /pen/news.php?id=1 union select user,password from mysql.user` 修改为带有特殊字符拼接和注释的形式来绕过检测。

六、特殊字符与空格替换策略

使用特殊字符替换空格，如 `%0a//` 等。同时可以利用大小写混合、双写关键字等方式绕过WAF的检测。例如，将"union select"双写并异或绕过变成"UNIunionON SELselectECT"。

七、分块传输绕过方法

通过修改Content-Type和Transfer-Encoding等HTTP头部信息，结合特定的数据格式，可以实现分块传输绕过WAF。这种策略需要对HTTP协议有深入的了解。

八、云WAF绕过策略

对于云WAF，可以尝试寻找真实的IP地址来绕过检测，或者伪造请求包头信息，如X-Originating-IP等字段，伪装成合法请求来绕过云WAF的检测。

九、不断思考与完善

绕过WAF的方法多种多样，随着时代的发展，一些方法可能会被淘汰。需要不断地思考各种可能性，与时俱进地完善绕过策略。安全领域永远充满了挑战与机遇。