我们当时认为，只要部署了Web应用防火墙（WAF），网站的安全态势应该就能大幅提升，至少能抵御大多数自动化攻击。但实际发现，仅仅依赖WAF是远远不够的，内部开发流程中遗留的深层逻辑漏洞，以及配置不当导致的权限泄露，这些隐患往往能绕过常规防护，成为攻击者青睐的入口。