出于多处原因,你可能要给自己的网站上WAF。

WAF有三种形态:硬件、软件、云。

硬件WAF,一个字:贵!

软件WAF,需要自己部署。

云WAF,貌似最为简单方便。

综合考虑之下,很多中小企业,选择使用云WAF为自己的网站提供安全防护。

但是,云WAF带来安全的同时,也带来了风险隐患。

何来风险?

本文不对现实中云WAF风险是否发生下定论,仅从技术角度探讨风险存在的可能性。

风险在此!

实例演示:

首先,部署一款软件WAF,模拟为云WAF。

某WAF具备云形态,本是软件WAF,但可以实现云WAF类似效果:

部署,并启动调试模式。

1、敏感信息泄露风险

经WAF保护后,所有数据都会经过WAF的,包括帐号密码之类的保密敏感信息:

只要WAF愿意,可以截获任何内容,比用上图中输入的帐号密码。

2、内容安全风险

原理以上类似,WAF能对提交的内容完全掌握,也能对返回的内容尽数获取:

如果是个人信息、私密数据等爬虫感兴趣的内容,WAF完全可以充当一回爬虫。

还有哪些风险?

任何不想被三方获取的内容。

4、是不是真的风险?

其实,不管是什么形态的WAF,都可以做到以上操作。

不同之处是:WAF是在自己掌控中?还是在他人掌控中?

如果是硬件WAF、软件WAF,是自己部署的、自己操控的,这是相对安全的。

如果是云WAF,是第三方的、是他人掌控之下,这种风险是显而易见的。

当然,并不是说云WAF平台一定存在这种问题,本文只是从技术理论上探讨可能存在的风险。

至于在选择WAF时如何决策,同时还要结合自己的业务形态:如果只是一个企业形像宣传的静态网站,则显然是没有必要担心上述问题的。