WAF - 是时候跟正则表达式说再见

《WAF - 是时候跟正则表达式说再见》 这份文档探讨了正则表达式在Web应用防火墙（WAF）中的局限性，认为正则表达式不适合作为构建WAF的核心技术，并分析了现有WAF的解决方案及未来构建方向。以下是核心观点和关键信息的总结： ### 1. 正则表达式不适合用于构建WAF - **误报与漏报难以平衡**：维护正则表达式规则时，需要在拦截率和误报率之间找到平衡点，这在实际操作中非常困难。 - **计算复杂度高**：当规则数量达到几十或几百条时，最坏时间复杂度可能达到\(O(n^2)\)，导致性能问题。 - **DDoS攻击风险**：某些正则表达式规则可能被利用发起拒绝服务攻击（DDoS），例如``或``等模式。 ### 2. 现有WAF的解决方案存在问题 - **正则表达式的局限性**：现有的WAF规则通常基于正则表达式，例如： -pheric规则如`(?i:(?:union(.*?)select(.*?)from))`（检测SQL注入）。 -检测XSS的规则如`/(.*?)<\/b>/i`。 -匹配HTML标签的规则如`<\s*script\b`。 - **案例分析**：文档提到多个实际案例，包括： - **Discuz_X3.3_SC_UTF8**：存在可被绕过的正则表达式规则。 - **WordPress-4.7.1**：某些规则可能导致误报或漏报。 - **ModSecurity CRS**：规则如`