0x01 waf介绍
-
全面检测WEB代码 -
深入检测HTTP/HTTPS -
强大的特征库 -
网络层的防篡改机制
0x02 waf的分类
一般以反向代理的形式工作,通过配置NS或CNAME记录,使得对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将被认为无害的请求报文再发送给实际网站服务器进行请求,可以认为是自带防护功能的CDN
0x03 waf拦截页面
(现如今WAF种类繁多,笔者搜集的可能也并不是那么齐全和准确,还望得到各位老哥大佬的补充和修正!!!)
3.1 阿里云盾
3.4 百度云应用防火墙 WAF
3.5 华为云 - 云防火墙 CFW
3.6 安全狗
3.7 知道创宇 - 创宇盾
3.8 D盾
3.10 宝塔网站防火墙
3.11 网防G01
3.12 网站安全狗
3.13 360网站卫士
0x04 waf指纹识别工具-WAFW00F
4.1 WAFW00F原理
WAFW00F是一个Web应用防火墙(WAF)指纹识别的工具。可以在WAF指纹目录下自行编写脚本。这类WAF识别工具的原理基本都是根据HTTP头部信息、状态码以及WAF拦截页中的图片、文字作为特征来进行检测。
4.2 安装使用
windows进行安装参考链接:
https://blog.csdn.net/m0_52900366/article/details/125972304
安装完成如下:
kail中也自带了WAFW00F:
-h,可以看到很多使用参数:
参数 -l 列出可以识别的防火墙:
直接加url,可识别出waf类别。
4.3 项目下载:
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):常见的WAF以及识别方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论