6-WAF指纹识别

最新推荐文章于 2024-05-08 11:41:27 发布
最新推荐文章于 2024-05-08 11:41:27 发布
阅读量144 收藏
点赞数 5
分类专栏: 信息收集 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62978778/article/details/135178640
版权

文章目录

WAF指纹识别

1、什么是WAF

1.1 什么是WAF

Web Application Firewall

Web 应用防火墙

过滤HTTP/HTTPS的请求

1.2 WAF的作用

  • SQL Injection (SQLi):阻止SQL注入
  • Cross Site Scripting (XSS):阻止跨站脚本攻击
  • Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
  • Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
  • Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
  • PHP Code Injectiod:阻止PHP代码注入
  • HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
  • HTTPoxy:阻止利用远程代理感染漏洞进行攻击
  • Sshllshock:阻止利用Shellshock漏洞进行攻击
  • Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
  • Scanner Detection:阻止黑客扫描网站
  • Metadata/Error Leakages:阻止源代码/错误信息泄露
  • Project Honey Pot Blacklist:蜜罐项目黑名单
  • GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断

1.3 WAF分类

  • 硬件型 WAF(厂商安装)
  • 云 WAF(阿里云、腾讯云、华为云……)
  • 软件型 WAF(部署在 Apache、Nginx 等 HTTP Server 中)

2、常见WAF厂商

2.1 WAF厂商

各种云:阿里云、腾讯云、华为云、百度云……

安全狗、宝塔、360、知道创宇、长亭、安恒……

宝塔

在这里插入图片描述

安全狗

在这里插入图片描述

腾讯云

在这里插入图片描述

阿里云

在这里插入图片描述

3、WAF指纹识别思路

3.1 识别思路

额外的cookie;

任何响应或请求的附加标头;

响应内容(如果被阻止请求);

响应代码(如果被阻止请求);

IP地址(云WAF);

JS客户端模块(客户端WAF)

3.2 如何触发拦截

xsstring = ‘<script>alert(“XSS”);</script>’

sqlistring = “UNION SELECT ALL FROM information_schema AND ’ or SLEEP(5) or '”

lfistring = ‘…/…/…/…/etc/passwd’

rcestring = ‘/bin/cat /etc/passwd; ping 127.0.0.1; curl google.com’

xxestring = ‘<!ENTITY xxe SYSTEM “file:///etc/shadow”>]><pwn>&hack;’

3.3 指纹库

https://github.com/CSecGroup/wafid/blob/master/finger.xml

4、WAF指纹识别工具

4.1 工具

Kali自带:

https://github.com/EnableSecurity/wafw00f

用法:wafw00f https://www.12306.cn

nmap www.12306.cn --script=http-waf-detect.nse

sqlmap -u “xxx.com?id=1” --identify-waf

其他:

https://github.com/0xInfection/Awesome-WAF

星星程序猿
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WAF指纹探测及识别技术
Coisini的博客
06-21 2242
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。本文 介绍了常见的WAF指纹识别的一些技术,详见如下: WAF指纹 Cookie值 Citrix Netscaler “Citrix Netsc...
信息收集---WAF指纹识别
qq_44418229的博客
05-01 502
WAF指纹识别
信息收集----CMS指纹识别
qq_44418229的博客
04-30 3517
CMS指纹识别,了解目标网站用了什么框架,什么数据库,什么代理,充分了解目标后可以去查一些nday来进行攻击
国内waf指纹识别及检测总结
UHGsec——palink博客
10-14 1838
waf识别: waf在请求中设置自己的cookie Waf在恶意请求时回复响应代码 Waf在响应页面内容中可以查看 Waf手动检测: 360防火墙: 响应头包含X-Powered-By-360WZB 异常请求时返回493状态码 页面源码页面源码可以找到对 wzws-waf-cgi 引用 云锁: 响应头包含yunsuo_session 字段 阻止响应页面 云盾: 响应头包含yundu...
CMS,CDN,WAF指纹识别
hacker3062的博客
09-18 788
WAF的分类:硬件型(天融信之类的),云WAF(阿里云、腾讯云等),软件型WAF(部署在apache,nginx,httpserver等网络服务器中)CMS:CMS常用语快捷建站,常见的有wordpress、Z-blog、Discuz、织梦、帝国CMS、PHPCMS、ESshop等。通过关键特征,识别出目标的CMS系统、服务器、开发语言、OS操作系统、CDN、WAF、的类别版本。WAF:是否采用了WAF,例如安全狗,腾讯云、天融信、D盾、云锁、宝塔、360等。
网络安全——指纹识别
weixin_54055099的博客
09-01 5757
指纹识别
本文从现代WAF的基本原理讲起,涵盖WAF指纹识别、多种WAF绕过技术(上)
systemino的博客
07-24 758
前言 WAFWeb应用防护系统)最近变得非常流行,针对从小型企业到大型企业的不同客户,WAF供应商也设计了许多有针对性的解决方案。 WAF之所以很受欢迎,是因为它是保护Web应用程序的复杂解决方案,涵盖了所有防护任务。这就是为什么Web应用程序开发人员可以在某些安全方面依赖WAF的原因。尽管如此,WAF还是存在某些漏洞,它并不完美。PHP大马 那么,WAF应该如何证明它在项目中的实现...
waf指纹识别工具WAFW00F的使用
weixin_50464560的博客
08-05 747
*本工具仅供技术分享、交流讨论,严禁用于非法用途。 原理 发送正常的 HTTP请求并分析响应;这确定了许多WAF解决方案。 如果不成功,则发送多个(可能是恶意的)HTTP请求,并使用简单的逻辑来取代它是其中WAF。 如果还是不成功,则分析先前回复的响应,并使用另一种简单算法来猜测WAF安全解决方案是否正在积极响应我们的攻击。 其实它的核心就是其中的main.py: #!/usr/bin/env python # -*- coding: utf-8 -*- ''' Copyright (C) 2019, W
自己动手写waf指纹识别
weixin_30578677的博客
11-06 202
1 import requests 2 import re 3 def target_url(scan_url): 4 xssstring = '<script>alert(1)</script>' 5 response = requests.get(scan_url) 6 head = response.headers ...
waf识别指纹工具
10-08
WAFW00F识别和指纹Web应用防火墙(WAF)产品。 其工作原理是首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符,若没有在通过发送一个恶意的请求触发waf拦截来获取其返回的特征来判断所使用的waf
Python-Wafid识别和指纹Web应用防火墙WAF产品
08-10
Wafid识别和指纹Web应用防火墙(WAF)产品
WAF_Bypass_技术讨论.pdf
08-08
一、WAF分类及原理解析 二、WAF指纹识别及探测 三、WAF Bypass姿势
Python-w11scan是一款分布式的WEB指纹识别系统
08-10
w11scan是一款分布式的WEB指纹识别系统(包括CMS识别、js框架、组件容器、代码语言、WAF等等),管理员可以在WEB端新增/修改指纹,建立批量的扫描任务,并且支持多种搜索语法。
御剑 网站指纹探测 网站源码世露 网站WAF识别 致感目录深测 BBScan
12-25
网站WAF识别 致感目录深测 BBScan 御剑 网站指纹探测 网站源码世露 网站WAF识别 致感目录深测 BBScan 御剑 网站指纹探测 网站源码世露 网站WAF识别 致感目录深测 BBScan御剑 网站指纹探测 网站源码世露 网站WAF识别 ...
全面升级企业网络安全 迈入SASE新时代
最新发布
HKT香港电讯的博客
05-08 646
随着数字化业务、云计算、物联网和人工智能等技术的飞速发展,企业的业务部署环境日渐多样化,远程移动设备办公模式的普及,企业多分支机构的加速设立,也使得企业业务系统的用户范围由单一、单点的内部用户扩展至多个分支及多个外部终端,企业数据暴露在互联网中存在安全威胁基于企业运营据点分散化的趋势,越来越多的企业数据暴露在互联网中,网络安全问题层出不穷。企业用户在访问海外互联网时,经常会有不法分子利用不同国家和地区的网络安全环境存在的差异进行网络攻击。
网络安全风险里的威胁建模
qq_41432686的博客
05-02 882
网络安全的本质是攻防双方的对抗与博弈。然而,由于多种攻防之间的不对称性因素存在,使得攻击者总能在对抗过程中抢占先机。为了更好地了解潜在的威胁和缺陷,实现主动式防御,企业需要重新考虑他们的网络防护方法,而威胁建模(Threat modeling)正是网络安全武器库中关键防御武器。
网络安全之密码学技术
缘友一世的博客
04-29 1406
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。
网络安全思考题
weixin_62304542的博客
04-27 1405
网络安全渗透思考题
在DCFW-1800-WAF-P 上配置基础防御功能,建立特征规则“http防御”,开启SQL注入、XSS攻击、信息泄露等防御功能,要求针对这些攻击阻断并保存日志发送邮件告警;
03-08
在DCFW-180-WAF-P上配置基础防御功能,可以通过以下步骤实现:首先,进入设备管理界面,选择“安全策略”选项卡,然后选择“特征规则”选项卡,创建名为“http防御”的特征规则。接下来,开启SQL注入、XSS攻击、信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星星程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值