云WAF，带来了安全，也带来了风险！

出于多处原因，你可能要给自己的网站上WAF。

WAF有三种形态：硬件、软件、云。

硬件WAF，一个字：贵！

软件WAF，需要自己部署。

云WAF，貌似最为简单方便。

综合考虑之下，很多中小企业，选择使用云WAF为自己的网站提供安全防护。

但是，云WAF带来安全的同时，也带来了风险隐患。

何来风险？

本文不对现实中云WAF风险是否发生下定论，仅从技术角度探讨风险存在的可能性。

风险在此！

实例演示：

首先，部署一款软件WAF，模拟为云WAF。

某WAF具备云形态，本是软件WAF，但可以实现云WAF类似效果：

部署，并启动调试模式。

1、敏感信息泄露风险

经WAF保护后，所有数据都会经过WAF的，包括帐号密码之类的保密敏感信息：

只要WAF愿意，可以截获任何内容，比用上图中输入的帐号密码。

2、内容安全风险

原理以上类似，WAF能对提交的内容完全掌握，也能对返回的内容尽数获取：

如果是个人信息、私密数据等爬虫感兴趣的内容，WAF完全可以充当一回爬虫。

还有哪些风险？

任何不想被三方获取的内容。

4、是不是真的风险？

其实，不管是什么形态的WAF，都可以做到以上操作。

不同之处是：WAF是在自己掌控中？还是在他人掌控中？

如果是硬件WAF、软件WAF，是自己部署的、自己操控的，这是相对安全的。

如果是云WAF，是第三方的、是他人掌控之下，这种风险是显而易见的。

当然，并不是说云WAF平台一定存在这种问题，本文只是从技术理论上探讨可能存在的风险。

至于在选择WAF时如何决策，同时还要结合自己的业务形态：如果只是一个企业形像宣传的静态网站，则显然是没有必要担心上述问题的。