waf处理逻辑
- 取得用户请求数据
- 将数据与异常请求判定的正则进行匹配
- 发现请求有异常就进行拦截动作
waf部署方式
- 通过部署反向代理服务直接取得用户请求的http数据
- 通过硬件设备直接读取网络层数据在解析出用户请求的HTTP数据
- 通关读取网卡流量取得用户数据
监测目标网站是否使用waf
在接收到有攻击倾向的请求之后,waf大致表现如下
- 在页面中出现明显的waf提示
- 出现异常的http响应码(403,303,501,404等)而正常的响应码应为200
- 网站停止对用户的请求进行响应。
nmap 测试 nmap -p 80,443 --script=http-waf-detect
实现思路
- 向目标发送一个正常请求A1
- 记录这个请求的回应B1
- 向目标发送一个攻击请求A2
- 记录这个请求的回应B2
- 比较B1和B2,如果两者相同,则没使用waf,否则则使用了waf
- 检测waf的工具:wafw00f url(kali中有)
云waf
用户将要被保护的网站域名解析权交给云waf系统,域名解析权移交完成后,所有针对被保护网站的请求,将会被dns服务器解析到指