云WAF，带来了安全，也带来了风险！

出于多种原因，你可能要给自己的网站上WAF。

WAF有三种形态：硬件、软件、云。
硬件WAF，一个字：贵！
软件WAF，需要自己部署。
云WAF，貌似最为简单方便。
综合考虑之下，很多中小企业，选择使用云WAF为自己的网站提供安全防护。
但是，云WAF带来安全的同时，也带来了风险隐患。
何来风险？
本文不对现实中云WAF风险是否发生下定论，仅从技术角度探讨风险存在的可能性。
风险在此！
实例演示：
首先，部署一款软件WAF，模拟为云WAF。
某WAF具备云形态，本是软件WAF，但可以实现云WAF类似效果：
部署，并启动调试模式。

1、敏感信息泄露风险
经WAF保护后，所有数据都会经过WAF的，包括帐号密码之类的保密敏感信息：

只要WAF愿意，可以截获任何内容，比用上图中输入的帐号密码。

2、内容安全风险
原理以上类似，WAF能对提交的内容完全掌握，也能对返回的内容尽数获取：

如果是个人信息、私密数据等爬虫感兴趣的内容，WAF完全可以充当一回爬虫。
还有哪些风险？
任何不想被三方获取的内容。

是不是真的风险？

其实，不管是什么形态的WAF，都可以做到以上操作。 不同之处是：WAF是在自己掌控中？还是在他人掌控中？ 如果是硬件WAF、软件WAF，是自己部署的、自己操控的，这是相对安全的。 如果是云WAF，是第三方的、是他人掌控之下，这种风险是显而易见的。 当然，并不是说云WAF平台一定存在这种问题，本文只是从技术理论上探讨可能存在的风险。 至于在选择WAF时如何决策，同时还要结合自己的业务形态：如果只是一个企业形像宣传的静态网站，则显然是没有必要担心上述问题的。