wafw00f: web 安全测试工具

来源：知乎

什么是wafw00f？

wafw00f是一个针对Web应用程序安全性的开源工具，它可以在Web服务器上运行，检测并防御常见的网络攻击。

它利用了模块化设计和高度可配置性，使得安全性专家能够根据自己的需要来定制这个工具。

wafw00f包含了许多功能，例如：IP白名单、URL重写、HTTP头检查、SQL注入防御、XSS防御、CRLF攻击防御等。

此外，wafw00f还支持许多Web服务器和应用程序服务端技术，例如：Apache、Nginx、Lighttpd、IIS、Java Servlet、PHP、Python的WSGI等。

如何安装并配置wafw00f

1.从GitHub克隆源代码到您的服务器。

git clone https://github.com/coderzheng/wafw00f.git

2.编译并安装必要的依赖项。

　　cd wafw00f　　sudo apt-get install -y libpcre3 libpcre3-dev libssl-dev libmcrypt-dev autoconf automake libtool libffi-dev zlib1g-dev liblua5.2　　make && make install

　　3.配置wafw00f的基本设置，例如启用或禁用特定功能、设置日志等。

　　cp config/default.ini.example config/wafw00f.ini　　vi config/wafw00f.ini # 在这里添加或修改配置项

　　4.在Web服务器上配置虚拟主机和路由：

　sudo apache2ctl -S　　sudo ln -s /usr/share/apache2/mod_wsgi.so /usr/lib/apache2/modules/　　sudo sed -i 's/LoadModule wsgi_module modules/LoadModule wsgi_module /usr/lib/apache2/modules/' /etc/apache2/httpd.conf　　sudo apache2ctl restart

　　5.测试并调整防火墙规则：

wafw00f -t # 运行测试模式，可以看到所有的请求都经过了防火墙检查。

或者

sudo iptables -L # 查看当前的防火墙规则，并根据需要添加、删除或修改规则。

如何在python中直接使用wafw00f？

通过Python的WSGI接口来使用wafw00f，直接import wafw00f即可

原文始发于微信公众号（啄木鸟软件测试）：介绍一款 web 安全测试工具