幾個(gè)月以前我決定去探查一下Web應(yīng)用層防火墻(WAF)是否真正有用，或者它僅僅是一個(gè)花費(fèi)巨大的披著華麗外衣的廢物，只是使得審計(jì)人員用來(lái)逃脫職責(zé)。

當(dāng)然，WAF的賣家總是一成不變的告訴我們他們的產(chǎn)品是如何如何的好，有多少多少的客戶在使用他們的產(chǎn)品，但是，這不是最好的方式來(lái)了解真實(shí)的情況。我也在與一些最終用戶的談?wù)撝蝎@知了一些真實(shí)的情況，甚至這種方式也不是一個(gè)發(fā)現(xiàn)安全工具價(jià)值的最好方式。并不是所有的使用者有很好的觀察法和內(nèi)部控制方式去測(cè)試這些工具的效用，而且由于一些政治和技術(shù)方面的原因，很多人并不能夠以最優(yōu)的方式去部署這些工具。

現(xiàn)在，我從用戶那里開(kāi)始，和我的一些滲透測(cè)試朋友們一起檢測(cè)這些工具。一個(gè)初級(jí)測(cè)試者不可能理解一個(gè)工具的整個(gè)價(jià)值(因?yàn)樗麄儧](méi)有付出高度的注意力在規(guī)則/管理這些問(wèn)題上)，一個(gè)好的測(cè)試者會(huì)深刻的認(rèn)識(shí)到一個(gè)安全工具在他們生命中的重要性。

最后的結(jié)論是，正確的使用才能夠發(fā)揮WAF的價(jià)值，一定程度上能夠在外部提供一個(gè)安全的防護(hù)范圍，但這也不是一勞永逸的方式。也就是相當(dāng)于沙鼠抵御APT攻擊的價(jià)值，下面是一些細(xì)節(jié)：

● WAF能夠很好的防護(hù)框架漏洞(例如運(yùn)行未打補(bǔ)丁的wordpress)，自動(dòng)化(腳本)攻擊，甚至只是在配置特定應(yīng)用規(guī)則的情況下就實(shí)現(xiàn)了這些功能(盡管幾乎沒(méi)有人能夠真正以這種方式部署)。

● WAF對(duì)于常見(jiàn)的XSS/SQL注入的防護(hù)能力一般。研究者們通常發(fā)現(xiàn)對(duì)于常規(guī)攻擊比較困難的情況，只要借助各種有效因素(尤其是基于WAF的app程序)，再花費(fèi)一些時(shí)間一般都能成功溢出。借助大量的應(yīng)用知識(shí)，越好的配置WAF，攻擊就越困難。同時(shí)，研究溢出的時(shí)間增加會(huì)提高攻擊者的成本，這也許會(huì)減低攻擊者花時(shí)間去研究app程序的可能，同時(shí)也就提高防御他們的可能性?？墒?，如果有人鐵了心的滲透并有淵博的知識(shí)，沒(méi)有WAF能夠阻止他們。

● 安全產(chǎn)品經(jīng)常提供很多的重要的分析價(jià)值，它們經(jīng)常提供比跟蹤/狀態(tài)數(shù)據(jù)包更好的信息來(lái)理解站點(diǎn)上發(fā)生的事情。

● WAF對(duì)邏輯缺陷無(wú)能為力(除非你手動(dòng)編碼/配置)，更不用說(shuō)XSS/SQL注入。

● WAF并不像銷售宣傳中說(shuō)的那樣使用簡(jiǎn)單。哎，這真讓人吃驚。再一次，它就和沙鼠一樣。

從某方面來(lái)說(shuō)，我寫的這些不值一提。這個(gè)承諾有很多價(jià)值的工具被我們誤用了，但是如果使用得當(dāng)，它也能夠提供一定的功用。

只是不要讓人們覺(jué)得買它就是在浪費(fèi)錢，確定你知道如何更好的使用它來(lái)得到你想要得到的。