Web應(yīng)用防火墻通常會(huì)被部署在Web客戶端與Web服務(wù)器之間，以過(guò)濾來(lái)自服務(wù)器的惡意流量。而作為一名滲透測(cè)試人員，想要更好的突破目標(biāo)系統(tǒng)，就必須要了解目標(biāo)系統(tǒng)的WAF規(guī)則。如今，許多WAF都是基于簽名的。下圖簡(jiǎn)單描繪了一個(gè)Web應(yīng)用防火墻的工作流程：

什么是基于簽名的防火墻？

在基于簽名的防火墻中你可以自定義簽名，如果你知道某種網(wǎng)絡(luò)攻擊遵循某種類(lèi)型的模式或簽名。那么你就可以定義匹配模式過(guò)濾掉它們，例如：

Payload:-

上面定義的是一種常見(jiàn)的XSS payload，我們知道所有這類(lèi)攻擊都可能包含- >“