绕过WAF的5种方法

1. 概述

本文将介绍渗透测试人员和安全研究人员用于成功绕过 Web 应用程序防火墙 （WAF） 保护的工具和技术。

WAF 是一种网络安全解决方案，用于过滤和阻止恶意 Web 流量。常见的供应商包括CloudFlare，AWS，Citrix，Akamai，Radware，Microsoft Azure和Barracuda。

根据防火墙使用的机制组合，绕过方法可能会有所不同。例如，WAF 可能会使用正则表达式来检测恶意流量，还可能采用基于签名的检测，将已知的恶意字符串的签名存储在数据库中，防火墙将根据签名来确定恶意流量。如果存在匹配项，则阻止流量。此外，某些防火墙使用基于启发式的检测。

原文始发于微信公众号（薯条机器猫）：绕过WAF的5种方法