来源:知乎
什么是wafw00f?
wafw00f是一个针对Web应用程序安全性的开源工具,它可以在Web服务器上运行,检测并防御常见的网络攻击。
它利用了模块化设计和高度可配置性,使得安全性专家能够根据自己的需要来定制这个工具。
wafw00f包含了许多功能,例如:IP白名单、URL重写、HTTP头检查、SQL注入防御、XSS防御、CRLF攻击防御等。
此外,wafw00f还支持许多Web服务器和应用程序服务端技术,例如:Apache、Nginx、Lighttpd、IIS、Java Servlet、PHP、Python的WSGI等。
如何安装并配置wafw00f
1.从GitHub克隆源代码到您的服务器。
git clone https://github.com/coderzheng/wafw00f.git
2.编译并安装必要的依赖项。
cd wafw00fsudo apt-get install -y libpcre3 libpcre3-dev libssl-dev libmcrypt-dev autoconf automake libtool libffi-dev zlib1g-dev liblua5.2make && make install
3.配置wafw00f的基本设置,例如启用或禁用特定功能、设置日志等。
cp config/default.ini.example config/wafw00f.inivi config/wafw00f.ini
4.在Web服务器上配置虚拟主机和路由:
sudo apache2ctl -Ssudo ln -s /usr/share/apache2/mod_wsgi.so /usr/lib/apache2/modules/sudo sed -i 's/LoadModule wsgi_module modules/LoadModule wsgi_module /usr/lib/apache2/modules/' /etc/apache2/httpd.confsudo apache2ctl restart
5.测试并调整防火墙规则:
wafw00f -t # 运行测试模式,可以看到所有的请求都经过了防火墙检查。
或者
sudo iptables -L # 查看当前的防火墙规则,并根据需要添加、删除或修改规则。
如何在python中直接使用wafw00f?
通过Python的WSGI接口来使用wafw00f,直接import wafw00f即可
原文始发于微信公众号(啄木鸟软件测试):介绍一款 web 安全测试工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论