注：
曾经在HI群里讨论WAF的时候，某大牛一语道破国内WAF的本质：“现在的waf整一个Mod-security修改版 然后前端加加 就哦了”...于是我立即反驳：“不是整一个，也有不是的”。

至少铱迅的Waf不是！

其实很久之前我也这么看：国内的ids基本就是snort，国内的waf基本就是ModSecurity...

当初我见到几个snort引擎下的ids的时候，我觉得这玩意挑不起web安全的大梁，甚至ids本身的出现也没有什么意义，太多的误报与漏报只会增加安全分析人员的工作量，任何安全人员看到每天甚至每时每刻的成千成万或者若干条的告警都会感到手足无措的。于是我觉得waf才是web安全的未来。

------------------------------------------------------------------------
新兴web安全公司-铱迅信息:

铱迅信息是一家专业做web安全的新兴公司，总经理是来自华为，研发总监来自摩托罗拉，此人在美国做了多年协议，对底层驱动研究异常透彻，web攻击检测引擎研发由10多名拥有10多年web安全研究的国内顶尖人员构成。人员配置都非常年轻，是一个很有青春活力的团队。

既然是web安全公司，当然...

1.不要看到别人的回复第一句话就说：给个代码吧！你应该想想为什么。当你自己想出来再参考别人的提示，你就知道自己和别人思路的差异。
2.初学者请不要看太多太多的书那会误人子弟的，先找本系统的学，很多人用了很久都是只对部分功能熟悉而已，不系统还是不够的。
3.看帮助,不要因为很难而自己是初学者所以就不看；帮助永远是最好的参考手册，虽然帮助的文字有时候很难看懂，总觉得不够直观。
4.不要被对象、属性、方法等词汇所迷惑；最根本的是先了解最基础知识。
5.不要放过任何一个看上去很简单的小问题--他们往往并不那么简单，或者可以引伸出很多知识点；不会举一反三你就永远学不会。
6.知道一点东西，并不能说明你会写脚本，脚本是需要经验积累的。
7.学脚本并不难，ASP、PHP等等也不过如此--难的是长期坚持实践和不遗余力的博览群书；
8.看再多的书是学不全脚本的，要多实践
9.把时髦的技术挂在嘴边，还不如把过时的技术记在心里；
10.学习脚本最好的方法之一就是多练习；
11.在任何时刻都不要认为自己手中的书已经足够了；
12.看得懂的书，请仔细看；看不懂的书，请硬着头皮看；
13.别指望看第一遍书就能记住和掌握什么——请看第二遍、第三遍；
14.请把书上的例子亲手到电...