WAF - 是时候跟正则表达式说再见

### 文档总结 #### 核心观点： 1. **正则表达式不适合用于构建WAF** - 正则表达式在WAF中的应用存在以下问题： - 易被攻击者绕过（如SQL注入漏洞绕过WAF）。 - 误报和漏报难以平衡，导致安全防护效果不佳。 - 正则表达式的计算复杂度（如$O(n^2)$或$O(2^n)$）可能导致DDOS攻击，影响性能和安全性。 - 维护大量正则规则难以保证拦截率和误报率的平衡。 2. **现有WAF的解决方案** - 当前WAF主要依赖正则表达式规则，但这种方案存在局限性： - 正则表达式仅关注局部特征（如“select”或“from”），忽视上下文信息，导致判断片面。 - 基于语义检测的WAF尝试改进，但尚未成熟。 3. **未来的WAF构建方向** - 建议抛弃正则表达式，采用更智能的技术（如语义分析、机器学习等）： - 通过整体理解输入意图，提升检测准确性。 - 提高WAF的防御能力，降低被绕过的风险。 #### 关键信息： - **案例数据**： 文档列举了大量2016年的WAF绕过案例，显示多个知名网站和企业（如中国石油、奔驰、迅雷等）的SQL注入漏洞均成功绕过WAF。 - **技术分析**： 正则表达式的最坏时间复杂度可能导致性能瓶颈，甚至成为DDOS攻击的突破口。 - **未来建议**： 通过非Regex的语义检测或智能算法，构建更高效、更安全的WAF方案。