Waf 信息

Waf是一款专针对Web应用攻击的防护产品。当Web应用越来越丰富的同时，大部分交互都转移到了Web上，与此同时Web也成为了主要的攻击目标，此时Waf就成为了安全防护中的第一道防线，Waf在安全中的重要性不言而喻。

1、Waf 检查方法

• 手工检查

1、从浏览器发出普通的GET请求，拦截并记录响应头（特别是cookie）。
2、从命令行（例如cURL）发出请求，并测试响应内容和标头（不包括用户代理）。
3、向随机开放的端口发出GET请求，并抓住可能暴露WAF身份的标语。
4、如果某处有登录页面，请尝试一些常见的（易于检测到的）有效负载，例如" or 1 = 1 --。
5、如果某处有一些输入字段，请尝试使用嘈杂的有效负载，例如<script>alert()</script>。
6、../../../etc/passwd在网址末尾将虚拟对象附加到随机参数。
7、将一些引人入胜的关键字（例如' OR SLEEP(5) OR 'URL末尾）附加到任何随机参数。
8、使用过时的协议发出GET请求，例如HTTP/0.9（HTTP/0.9不支持POST类型查询）。
9、WAF很多时候会Server根据不同类型的交互来更改标头。
10、丢弃动作技术-将原始的FIN / RST数据包发送到服务器并识别响应。   提示：使用HPing3或Scapy之类的工具可以轻松实现此方法。
11、边信道攻击-检查请求和响应内容的计时行为。

• 工具检查

1、使用两个nmap脚本可以检测
--script=http-waf-detect
--script=http-waf-fingerprint

2、sqlmap
sqlmap -u “www.test.com/xxx?id=1”--identify-waf

3、wafw00f
https://github.com/EnableSecurity/wafw00f

4、identywaf
https://github.com/stamparm/identywaf

5、WhatWaf
https://github.com/Ekultek/WhatWaf.git

2、常见工具识别

• nmap

nmap ip/domain --script=http-waf-detect.nse 
nmap ip/domain --script=http-waf-fingerprint 

• sqlmap

sqlmap -u “www.test.com/xxx?id=1”--identify-waf

• wafw00f

wafw00f https://www.test.com

• identywaf

python3 identYwaf.py http://www.test.com                                                                            

• WhatWaf

./Whatwaf -u http://www.test.com

3、WAF 绕过

https://github.com/0xInfection/Awesome-WAF
https://blog.csdn.net/zvall/article/details/104033810
https://www.cnblogs.com/cheyunhua/p/14077782.html

4、常见WAF拦截页面

(1) D盾​

(2) 云锁​

(3) UPUPW安全防护​

(4) 宝塔网站防火墙​

(5) 网防G01​

(6) 护卫神​

(7) 网站安全狗​

(8) 智创防火墙​

(9) 360主机卫士或360webscan

(10) 西数WTS-WAF​

(11) Naxsi WAF

​​

(12) 腾讯云​

(13) 腾讯宙斯盾​

(14) 百度云​

(15) 华为云​

(16) 网宿云​

(17) 创宇盾​

(18) 玄武盾​

(19) 阿里云盾​

(20) 360网站卫士​

(21) 奇安信网站卫士​

(22) 安域云WAF​

(23) 铱讯WAF​

(24) 长亭SafeLine​

(25) 安恒明御WAF​

(26) F5 BIG-IP

(27) Mod_Security​

(28) OpenRASP​

(29) dotDefender​

(30) 未知云WAF

​​