接下来的话我们开始讲这个 waf的一个绕过原理，然后我们可以从哪些角度来讲呢？首先讲一下为什么会去产生能够绕过，首先第一点就是这个鱼和熊掌不可兼得，大家都知道这个古典因为是安全和业务性能上面会去做一个妥协，首先WAF他会去考虑一种通用性，他并不知道你后端是什么业务，所以他必须要考虑这种通用性。

那要做到通用性的话，必定会对一些特定业务架构下面的这种特性他是不了解的，所以他无法去拦截我。特殊的这种情况。另外就是性能上面针对一些针对WAF在检测的时候，它必定会考虑到一个新的损耗度，就是到什么程度就不检测了，所以这种情况就会被一些比如说一些很长的这种请求包，这种情况下就可能会产生绕过。

因为就是通信的问题的话，主要是考虑到华府它是无法去覆盖，百%去覆盖一些语言重建以及数据库的特性，那语言的特性就指的是比如类似这种phb的这种语法糖这种语法堂的这种编写。另外就是在这个充电线上中线上每个中间件都有自己的一个特性，比如说去 URL去解解码几次已经支持哪些的解码。

另外就是数据库特性，数据库特性就指的是一种语句的多样化，实际上为了可以可可能有多个语句都可以实现同样的一个目的。另外就是WAF自身存在这种漏洞，那么这种情况呢主要是指的比如说前那个第三种的话就是硬件，WAF往往自身就存在这种漏洞。