Web應用程序防火牆指紋識別工具
原理:
- 發送正常的 HTTP請求並分析響應;這確定了許多WAF解決方案。
- 如果不成功,則發送多個(可能是惡意的)HTTP請求,並使用簡單的邏輯來取代它是其中WAF。
- 如果還是不成功,則分析先前回復的響應,並使用另一種簡單算法來猜測WAF或安全解決方案是否正在積極響應我們的攻擊。
安裝:
github地址:https://github.com/EnableSecurity/wafw00f
官方使用文檔:https://github.com/enablesecurity/wafw00f/wiki
安裝環境:python3環境 --->使用 pip install wafw00f 進行安裝
安裝成功后目錄:python安裝目錄中的Lib\site-packages\wafw00f--->例如:C:\Python37\Lib\site-packages\wafw00f
驗證:cd到C:\Python37\Lib\site-packages\wafw00f目錄中,輸入python main.py 如下圖說明安裝成功
實戰
windows命令窗口中cd到wafw00f目錄中:
查看wafw00f能探測那些防火牆:
執行:python main.py -l 如圖列出防火牆
探測web站是否存在waf
例1:https://example.org (該網站存在waf)
執行:python main.py https://example.org
例2:https://www.baidu.com (百度肯定有waf)
例3:http://192.168.10.7:85/pikachu-master/vul/rce/rce_ping.php (不存在waf)
