网站waf检测

WAFW00F

WAFW00F识别和指纹Web应用防火墙(WAF)产品。

其工作原理是首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符,若没有在通过发送一个恶意的请求触发waf拦截来获取其返回的特征来判断所使用的waf。

支持的WAF产品

$ ./wafw00f -l

                                 ^     ^
        _   __  _   ____ _   __  _    _   ____
       ///7/ /.‘ \ / __////7/ /,‘ \ ,‘ \ / __/
      | V V // o // _/ | V V // 0 // 0 // _/
      |_n_,‘/_n_//_/   |_n_,‘ \_,‘ \_,‘/_/
                                <
                                 ...‘

    WAFW00F - Web Application Firewall Detection Tool

    By Sandro Gauci && Wendel G. Henrique

Can test for these WAFs:

Anquanbao
Juniper WebApp Secure
IBM Web Application Security
Cisco ACE XML Gateway
F5 BIG-IP APM
360WangZhanBao
ModSecurity (OWASP CRS)
PowerCDN
Safedog
F5 FirePass
DenyALL WAF
Trustwave ModSecurity
CloudFlare
Imperva SecureSphere
Incapsula WAF
Citrix NetScaler
F5 BIG-IP LTM
Art of Defence HyperGuard
Aqtronix WebKnight
Teros WAF
eEye Digital Security SecureIIS
BinarySec
IBM DataPower
Microsoft ISA Server
NetContinuum
NSFocus
ChinaCache-CDN
West263CDN
InfoGuard Airlock
Barracuda Application Firewall
F5 BIG-IP ASM
Profense
Mission Control Application Shield
Microsoft URLScan
Applicure dotDefender
USP Secure Entry Server
F5 Trafficshield

使用说明

可以使用--help查看,一般直接带入网址即可

$./wafw00f https://www.ibm.com/

                                 ^     ^
        _   __  _   ____ _   __  _    _   ____
       ///7/ /.‘ \ / __////7/ /,‘ \ ,‘ \ / __/
      | V V // o // _/ | V V // 0 // 0 // _/
      |_n_,‘/_n_//_/   |_n_,‘ \_,‘ \_,‘/_/
                                <
                                 ...‘

    WAFW00F - Web Application Firewall Detection Tool

    By Sandro Gauci && Wendel G. Henrique

Checking https://www.ibm.com/
The site https://www.ibm.com/ is behind a Citrix NetScaler
Number of requests: 6

安装

pip install wafw00f

项目地址:https://github.com/EnableSecurity/wafw00f

原文连接:wafw00f:识别Web的(WAF)产品 ,转载请注明出自体验盒子 | 关注网络安全

时间: 2024-10-10 22:41:00

网站waf检测的相关文章

QQ网站如何检测对本地已经登录的qq用户

网上有很多猜测,比如—— QQ 登录时在本地某地方存登录 ID 信息(Cookie 或文件),用 js 读,然后去服务器认证.但是现在的浏览器一般有沙箱功能,js 无法读到登录 ID:而且在清空 Cookie 后依然起作用. 以 IP.CPU ID.硬盘 ID 等硬件设备 hash 做唯一标识,QQ 登录时在服务器记录此信息,js 验证.感觉这样依赖环境过多,QQ 不太可能采用此方法. QQ 启动某端口监听,js 连接此端口.但是用 netstat 查看后,QQ 并没有监听端口. 有这么一个神奇

网站安全检测之用户密码找回网站漏洞的安全分析与利用

我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上,也会存在绕过安全问题回答,或者绕过手机号码,直接修改用户的账户密码. 在短信×××,以及用户密码找回的网站漏洞上,我们来跟大家分享一下如何利用以及如何防范该漏洞的×××. 我们来看下之前对客户网站进行的网站安全检测的时候我们发现到的短信×××漏洞,由于客户反映注册网站会员的时

YSLOW(一款实用的网站性能检测工具)

 概述 YSlow是Yahoo发布的一款基于FireFox的插件,这个插件可以分析网站的页面,并告诉你为了提高网站性能,如何基于某些规则而进行优化.  安装  官网:http://yslow.org/ 官方下载,点击安装,Google在扩展程序中直接拖进也可以,安装成功后会在右上角显示图标  YSLOW有什么作用? YSlow可以对网站的页面进行分析,并告诉你为了提高网站性能,如何基于某些规则而进行优化. YSlow可以分析任何网站,并为每一个规则产生一个整体报告,如果页面可以进行优化,则YSl

网站漏洞修复整体网站安全检测方案

在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专人去负责开发与设计,并与甲方网站公司进行沟通,每个技术的开发水平都不一样,有些网站技术有着十几年的开发经验,有的技术可能只有三四年的开发经验,所以开发出来的网站也都会有网站漏洞,比如:SQL注入漏洞,XSS跨站漏洞,远程命令执行漏洞,CSRF劫持漏洞,远程包含文件漏洞. 有些甲方公司根本无法修复网站的漏洞,只会设计网站的功能,以及设计网站的

网站漏洞检测针对区块链网站安全分析

目前移动互联网中,区块链的网站越来越多,在区块链安全上,很多都存在着网站漏洞,区块链的充值以及提现,会员账号的存储性XSS窃取漏洞,账号安全,等等关于这些区块链的漏洞,我们SINE安全对其进行了整理与总结.目前整个区块链网站安全市场的需求是蛮大的,很多区块链网站,也叫数字货币平台,以及数字虚拟币,虚拟钱包,区块链钱包,整体上的区块链网站架构是分5个层,第一层是区块链的应用层:分发行机制,分配机制.第二层是激励层,第三层是共识层:POW,第四层是P2P网络,区块链传播机制,安全验证机制.第五层就是

CMS网站漏洞检测对获取管理员密码漏洞如何修复

PbootCMS是网站常用的一款CMS系统,是由国内著名程序开发商翔云科技研发的一套网站CMS系统,免费开源,扩展性较高,使用的企业很多但是避免不了网站存在漏洞,SINE安全对其代码进行安全审计的同时发现该pbootcms 存在严重的漏洞,包含SQL注入获取管理员密码漏洞,以及远程代码注入执行漏洞.该pbootcms系统采用的是PHP语言开发,数据库是MYSQL,并支持pgsql数据库大并发处理,系统默认支持的服务器环境,PHP5.3版本以上,以及mysql版本5.6,apache,nginx,

网络安全热门话题——如何对被(已经/正在)入侵网站进行检测和防范

九月安全专题讨论: 拟进行以下技术(可以自定义相关技术)讨论和技术研究,欢迎大家参与: (1)网站入侵日志文件分析 (2)抓包分析入侵行为并修补程序漏洞 (3)从规则进行安全防护 (4)在线监测webshell等恶意行为 (5)网站安全加固实战 (6)入侵应对技术策略和措施 (7)取证分析 以上环境要求在linux普通用户权限. 欢迎提供线索.数据和资料进行黑客追踪以及取证. 报名参与QQ群:647359714,验证请注明研究学习,其它一律不通过. 51cto论坛讨论地址: http://bbs

WAF自动检测

步骤一:安装 源码安装 首先下载 git  clone  https://github.com/EnableSecurity/wafw00f.git #cd wafw00f #python setup.py install 安装完成后位置 步骤二:查询支持的WAF检测 (目前大约38个) #wafw00f  -l ^     ^ _   __  _   ____ _   __  _    _   ____ ///7/ /.' \ / __////7/ /,' \ ,' \ / __/ | V V

怎样进行网站被挂马检测?工具有哪些呢?

使用搜索引擎搜索"网站挂马检测"我们可以看到有许多的网站挂马检测工具及网站被挂马检测工具平台.我们来看看常用的网站被挂马检测工具及在线网站被挂马检测工具平台都有那些? 360网站安全检测平台(http://webscan.360.cn): 可以免费在线检测网站.网页木马.网站后门程序.网站漏洞等.网站在线被挂马检测,不需要网站验证,但如果想看到网站安全详情,就需要网站验证. 百度云观测(http://ce.baidu.com): 可以检测网站运行状况.网站安全性.网站访问速度.网站SE