سوالی که در ابتدا پیش میاد اینه که ما چه چیزی رو به عنوان وب اپلیکیشن یا همان وب سایت در نظر می گیریم. وب سایت نرم افزاری است که از طریق مرورگر (browser) برای کاربران قابل دسترس باشد.مرورگر یا براوزر نیز نرم افزاری است که از طریق آن می توان وب سایت های مختلف(نرم افزار های مختلف) را مشاهده کرد.برای مثلا با نرم افزار مرورگر گوگل کروم، ما نرم افزار وب سایت دیجی کالا رو می بینیم و ازش خرید می کنیم.
در این جا مفهوم دیگری وجود دارد تحت وب سرور. وب سرور یک نرم افزار دیگری است که بر روی سرور نصب می شود و درخواست های HTTP که از سمت کاربر می آید رو کنترل و جواب مناسب را به آن می دهد. حال شخصی یا نرم افزاری که با وب سرور ارتباط برقرار می کند می تواند مرورگر کاربر باشد و یا نرم افزار دیگری که با تغییر اطلاعات مجدد آن ها را به شکل دیگری نمایش دهد. حال درخواست دهنده به وب سرور که مجدد جواب درخواست را از وب سرور دریافت می کند web client یا user agent می گویند.
جهت ارتباط وب سرور و وب کلایت یک سری قوانین وجود دارد مانند زبان فارسی که بین همه ی ایرانی ها مشترک است و برای فهمیدن صحبت های دیگر از آن استفاده می کنیم. اسم این قوانین که جهت ارتباط نرم افزارهای مختلف از آن استفاده می شود پروتکل (Protocol) می گویند.
در سطح وب پروتکل های بسیاری جهت ارتباط نرم افزارها وجود دارد اما رایج ترین آن ها جهت ارتباط وب سرور و کلایت HTTP، FTP و WebSocket هستند.اینکه چرا پروتکل های مختلفی وجود دارد به دلیل کاربرهای مختلف و خاص هر کدام است و از هر کدام برای مورد خاصی می توان استفاده کرد و برخی از آنان را برای موارد مشترکی استفاده می کنند. مثلا ما می توانیم فایل های خود را از طریق پروتکل HTTP بین وب سرور و وب کلاینت انتقال دهیم. اما راه حل سریع تر و بهتری وجود دارد با عنوان پروتکل FTP یا File Transfer Protocol
مفهوم بعدی Web Resources می باشد که شامل فایل های Html، Css، تصاویر و کلیه مواردی هست که وب سایت را شامل می شوند. کلیه این منابع (Resources) از طریق وب سرور برای کاربر(وب کلاینت) قابل دسترس هستند مگر اینکه مدیر سرور یا برنامه نویس محدودیت ایجاد کرده باشد!
حال هر درخواستی که کاربر به وب سرور می دهد، در صورت نصب نبود WAF (Web Application Firewall) امنیت سایت( که شامل Web Resources) می شود به خطر می افتد. به صورت عمده درخواست ها ابتدا از WAF رد می شوند و در صورتی که درخواست مخرب باشد درخواست را DROP یا همان حذف می کند و یا بر اساس تنظیمات که بر روی WAF است با درخواست کاربر مقابله یا اجازه داده می شود.
حال اگر WAF نصب باشد نفوذگر می بایست از روش هایی برای بایپس(دور زدن) آن استفاده کند.
