如何绕过常用的Web应用防火墙？

发布时间：2023-12-29 01:55:38 所属栏目：安全来源：DaWei

导读： 许多Web应用防火墙（WAF）很容易被攻击者绕过。阅读本文后，你就可以知道如何判断自己的WAF是否易受攻击以及如何修复它了。

应用程序交付和安全平台NetScaler的威胁研究团队发现，许多基

许多Web应用防火墙（WAF）很容易被攻击者绕过。阅读本文后，你就可以知道如何判断自己的WAF是否易受攻击以及如何修复它了。

应用程序交付和安全平台NetScaler的威胁研究团队发现，许多基于云的WAF确实很容易被绕过。如果你打算购买WAF服务，就需要进行测试以确保WAF能够起到应有的功效，以保护你的应用程序和API。

建议你对自己的环境进行一番简单的测试，以检查WAF服务是否提供最佳保护。如果你的网络连接正常，那么恭喜你，你可以安心使用waf服务了。

在本文末尾概述了几个经常被忽视的简单步骤，以帮助你确定是否有人已经绕过了WAF，并危及Web应用程序和API的安全性。

最常见的WAF攻击
基于云的WAF和本地的WAF是作为一项服务提供的安全解决方案，旨在帮助保护Web应用程序和API免受开放Web应用程序安全项目（OWASP）记载的各种攻击。最常见的WAF攻击包括如下：

说到通过像Web应用程序这样的入口窃取大量数据，SQL注入是一种切实可行的方法。注入攻击最早记录于25年前，至今仍被广泛使用。

数据库查询的开始，常常被设计成检索所有信息，然后是过滤器仅显示一条信息。比如说，一个常用的查询首先检索所有客户信息，然后过滤特定的客户ID，数据库对照表中的每一行执行此命令，并返回该语句为真的表行上所请求的信息，通常这是单单一行。攻击者操纵用于填充此类查询以插入数据库命令的表单字段，导致对表中的每一行计算结果为true的语句，从而在响应中返回整个表的内容。在理想情况下，开发人员总是会保护表单安全，因此注入攻击不可能得逞。然而，开发人员有时可能容易出错，因此并非所有表单字段都一直受到保护。

最新的OWASP十大列表如今在注入类别中包含了跨站脚本攻击。在跨站脚本攻击中，攻击者将脚本插入到你的网站或Web URL中，以便毫无提防的受害者在软件中执行这些脚本，从而允许攻击者将cookie、会话管理或其他敏感数据传递到他们自己的Web服务器。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!