WAF對SQL注入的檢測原理？

SQL（Structured Query Language）注入攻擊是一種常見的Web攻擊方法，攻擊者通過把SQL命令注入到數據庫的查詢字符串中，最終達到欺騙服務器執行惡意SQL命令的目的。例如，可以從數據庫獲取敏感信息，或者利用數據庫的特性執行添加用戶、導出文件等一系列惡意操作，甚至有可能獲取數據庫乃至系統用戶最高權限。

WAF針對SQL注入攻擊的檢測原理是檢測SQL關鍵字、特殊符號、運算符、操作符、注釋符的相關組合特征，并進行匹配。

• SQL關鍵字（如 union，Select，from，as，asc，desc，order by，sort，and ，or，load，delete，update，execute，count，top，between，declare，distinct，distinctrow，sleep，waitfor，delay，having，sysdate，when，dba_user，case，delay 等）
• 特殊符號（’”,; ()）
• 運算符（±*/%|）
• 操作符（=，>,<,>=,<=,!=,+=,-=）
• 注釋符（–，/**/）

WAF針對XSS攻擊的檢測原理？

XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶加載并執行攻擊者惡意制造的網頁程序。這些惡意網頁程序通常是JavaScript，但實際上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻擊成功后，攻擊者可能得到包括但不限于更高的權限（如執行一些操作）、私密網頁內容、會話和Cookie等各種內容。

WAF對XSS跨站腳本攻擊的檢測原理主要是針對HTML腳本標簽、事件處理器、腳本協議、樣式等進行檢測，防止惡意用戶通過客戶端請求注入惡意XSS語句。

• XSS關鍵字（javascript 、script、object、style、iframe、body、input、form、onerror、alert等）
• 特殊字符（<、>、’、”）
• 外部鏈接（href=“http：//xxx/”，src="http：//xxx/attack.js"）

                    
說明
                    
如果業務需要上傳富文本，可以用multipart方式上傳，不用body方式上傳，放在表單里，即使base64編碼也會解碼。分析業務場景，建議限制引號、尖括號輸入。
                    
                  
                  

WAF是否可以防護Apache Struts2遠程代碼執行漏洞（CVE-2021-31805）？

WAF的Web基礎防護規則可以防護Apache Struts2遠程代碼執行漏洞（CVE-2021-31805）。

配置方法：

• 申請WAF獨享引擎。
• 將網站域名添加到WAF中并完成域名接入，詳細操作請參見網站接入WAF。
• 將Web基礎防護的狀態設置為“攔截”模式，詳細操作請參見配置Web基礎防護規則。