10 apr 2026 · Müəllif: Netspare komandası
Veb tətbiq firewall-u (WAF): nə bloklayır, nə buraxır və necə sınamaq olar
WAF HTTP sorğularını imza və davranış qaydaları ilə yoxlayır; məlum CVE kütlələrini azalda bilər, biznes məntiqini başa düşmür.
Tək nəzarət kimi WAF parametrli sorğular və patch əvəzinə qalırsa risk qalır.
Aşkarlama və blok
Köhnə tətbiqdə dərhal tam blok çox yanlış müsbət yaradır.
Yeni qaydalar üçün əvvəlcə log, sonra dar istisnalar.
Bypass səbəbləri
Kodlama, fərqli parser və məntiqi boşluqlar imzalardan yan keçə bilər.
Sınaq
- Stagingdə WAF ilə skan alətləri.
- Rate limit ayrıca yoxlanılmalıdır.
- TLS və HSTS WAF əvəzi deyil.
Əməliyyat
İstisnaları sənədləşdirin və versiyalayın.
WAF ID-ni tətbiq sorğu ID ilə uyğunlaşdırın.
Tez-tez verilən suallar
WAF bütün OWASP problemlərini dayandırır?
CDN WAF kifayətdirmi?
Netspare komandası
Bu müəllifin digər yazılarıBəyənə bilərsiniz
- 2026-cı ildə TLS sertifikatları: ACME, HTTP-01, DNS-01 və wildcard domenlər
Let's Encrypt avtomatlaşdırmanı normallaşdırdı, amma firewall, CDN və DNS uyğunsuzluğu yenilənməni sındıra bilər.
- DDoS riskinə hazır olmaq üçün praktik yoxlama siyahısı
DDoS dayanıqlılığı prosesdir. Əməliyyat ssenariləri hazırlayan komandalar daha tez bərpa olur və etimadı qoruyur.
- DNS yayılması və TTL: sayt sahiblərinin bilməli olduğu praktik məqamlar
DNS qeydlərini paneldə dəyişmək ani görünür, amma resolver-lər TTL qədər cavabı keşləyir. Keçidi necə planlamaq olar.
- Video, backup və böyük fayllar üçün obyekt saxlama və ya yerli VPS diski
Yerli SSD verilənlər bazası üçün sürətlidir; S3 tipli obyekt saxlama isə miqyas və dayanıqlılığı başqa cür hesablayır.