仅供学习交流如果你有更好的思路可以一起分享，想一起学习的进我主页

首先WAF（Web Application Firewall），俗称Web应用防火墙，主要的目的实际上是用来过滤不正常或者恶意请求包，以及为服务器打上临时补丁的作用。

1、云waf：

2、主机防护软件：

3、硬件WAF：

为什么WAF可被绕过

• 业务与安全存在一定的冲突。

• WAF无法100%覆盖语言，中间件，数据库的特性。

• WAF本身漏洞。

1、Web容器的特性

特殊的百分号

在 IIS+ASP 的环境中，对于URL请求的参数值中的%，如果和后面的字符构成的字符串在 URL编码表 之外，ASP脚本处理时会将其忽略。

但是waf 拿在包后会对url  比如：id=1 union all se%lect 1,2,3,4 fro%m adm%in     此时waf因为 % 的分隔，无法检测出关键字 select from 等。

但是因为IIS的特性，最后在服务器上解析的时候， id 获取的实际参数就变为1 union all select 1,2,3,4 from admin，从而绕过了waf。

要记住的是这个asp+iis 特性只对 asp 有效

2、 Web应用层的问题

编码绕过

通过一般WAF会针对传来的数据包中带有的编码进行一次解码工作，如果WAF不能进行有效解码还原攻击向量，可能导致绕过，常见编码如URL编码、unicode编码（IIS）、宽字节编码等。例如我们用 url 的二次编码，而经过一次 url解码的之后，WAF可能无法识别出它是恶意的数据，当把该恶意数据放行到Web服务器上时，Web服务器会再一次解码，最后导致了WAF绕过的结果。

3、WAF自身的问题

白名单机制

WAF存在某些机制，不处理和拦截白名单中的请求数据：

1、指定IP或IP段的数据。

2、来自于搜索引擎爬虫的访问数据。

3、其他特征的数据。