神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具

admin 2022年6月18日23:01:16评论104 views字数 1368阅读4分33秒阅读模式

WAFW00F  一款Web应用程序防火墙指纹识别工具

来自于 Enable Security

🌽WAF是锤子

WAFW00F 是一款允许识别和指纹保护网站的Web应用程序防火墙产品

看见识别这俩大字了没?首先它是基于python识别网站WAF的工具。

目前项目仍在持续维护更新,防火墙特征都会更新,你说呢胶泥

我们在肾透的时候经常操蛋于WAF的拦截

这时候我们就需要知道目标站点使用了什么防火墙

然后根据对应防火墙寻找绕过(骑马)的姿势

总之,它就是一款识别网站防火墙的工具


神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具


🌵这是废话

一般来说Web防火墙都是在应用层上工作的

他主要来监视或者修改HTTP请求

通俗的来说就是WAF可以控制并过滤用户的输入行为

WAFW00F只是一个python写的工具

它的原理就是用了一组HTTP请求方法来分析而已

🍒它的工作原理

1.发送正常的http请求并分析响应;这样来确定WAF

2.如果失败了,它将发送多个(可能是恶意的)http请求并使用简单的逻辑来推断出它是哪个WAF

3.如果还是不成功,它将分析先前返回的响应,并使用另一种简单算法来猜测WAF或安全方案是否正在主动响应我们的攻击

4.你丫不要到处乱扫!

🗡️下载地址

github.com/EnableSecurity/wafw00f

神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具


🥬命令参数

-h  显示帮助信息并退出
-v  更详细的输出,多个-v可以增加详细程度
-a  寻找所有匹配的waf,不在匹配到第一个时停止
-r  不遵循3xx响应给出的重定向
-t  测试指定的waf
-o  将输出写入csv、json或文本文件
-i  从文件中读取目标    
-l  列出所有wafw00f能检测的waf
-p  使用http代理来发送请求
-V  打印现在的wafw00f版本并退出
-H  通过文本文件传递自定义header以覆盖默认header设置

🌸基本使用

  • 帮助文档
wafw00f -h

神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具

  • 列出所有支持的 WAF
wafw00f -l

神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具

  • 测试单个 URL
wafw00f www.baidu.com

神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具

可以看到,百度所用为BWS/1.1

  • 测试多个 URL

可以使用空格提供多个URL

wafw00f 域名 域名 域名

神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具

  • 测试所有可能的 WAF 实例
wafw00f -a 域名

枚举测试站点上WAF的所有可能

这背后的逻辑是 WAFW00F 继续在其整个数据库中测试和匹配指纹

并且不会只在第一个匹配的实例上停止

  • 测试单个 WAF 实例
wafw00f 域名 -t 'Edgecast (Verizon Digital Media)'

使用此参数

WAFW00F 将测试并尝试仅匹配给定WAF的指纹

  • 使用代理
wafw00f 域名 -p http://user:[email protected]:8080

使用代理,懂的都懂

  • 添加自定义标题
wafw00f 域名 -H headers.txt

WAFW00F 有一组默认标头,通过它发出请求

这些标头特别适合模拟在Windows平台上运行的Chrome浏览器

此选项使我们能够提供一个逗号分隔的自定义标头列表

🍉关于源码

本来打算说一说对这款工具源码的学习的一点心得

可能是太菜了,一点屁都崩不出来

算了,后期有机会再说吧。

大佬说:

你不入地狱,谁入地狱?

神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具

🐯总结

唱一首情歌,送给我的老婆。

KISS😘 KISS😘 !!

原文始发于微信公众号(猫因的安全):神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月18日23:01:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   神兵利器 | Wafw00f:【汪!】一款经典的Web应用程序防火墙指纹识别工具https://cn-sec.com/archives/1127549.html

发表评论

匿名网友 填写信息