WAF识别初步理解

WAF信息识别1. WAF识别的目的识别目标服务器所使用的WAFWeb应用防火墙厂商及版本是漏洞挖掘的重要前置环节。明确WAF类型及其防护机制有助于后续漏洞利用和测试时制定有针对性的绕过策略从而提升漏洞利用的成功率。举例说明如果检测到目标系统部署了安全狗4.0版本WAF可以针对该版本的防护特性设计专门的绕过思路从而突破拦截机制顺利完成漏洞测试。2. WAF基础判断方法不同WAF厂商通常会定制专属的拦截提示页面这为辨别WAF类型提供了直观依据。在漏洞测试过程中通过向目标服务器提交恶意代码或发起漏洞探测请求如果触发WAF防护机制系统会跳转至特定的拦截页面。分析这些页面的特征可以快速识别WAF的种类。参考资料常见WAF拦截页面总结_各家厂商防火墙拦截页面-CSDN博客收集和分析目标所使用的WAF类型能够在渗透测试及工具开发过程中结合其匹配规则有针对性地设计绕过方案。这也是WAF信息收集的核心意义。其他常用判断方法除了通过拦截页面判断WAF类型之外还可以采用其他方式。例如手动分析服务器的响应信息也是一种常用手段。不同WAF在响应头中可能会包含特定的关键字比如阿里云的云盾Yundun会在响应头中出现相关标识。使用抓包工具时可以关注服务器返回的响应头信息其中可能包含如“云盾”这样的关键字通过这些特征进一步判断所用WAF的类型。常见WAF特征举例云盾阿里云响应头包含 yundun 关键字页面源代码有 errors.aliyun.com安全狗响应头包含 waf2.0、Safedog 等字样腾讯云阻止响应页面包含 waf.tenccent-clound.com阻止响应代码为 405 method not allow安全宝恶意请求时返回 405恶意代码响应头包含 X-Powered-by:Anquanbao百度云加速响应头包含 Yunjiasu-ngnix创宇盾恶意请求时页面URL包含 365cydcom、365cyd.net当然要做一个简单的检测的话KALI里面也是有工具的叫做wafw00f。wafw00f 的工作原理通过发送特殊构造的 HTTP 请求如带 SQL 注入、XSS 特征的 payload观察服务器返回的状态码、响应头、页面内容变化来判断是否存在 WAF 拦截。这边直接输入它的名称就可以看到是有的。使用方法wafw00f URL 即可举个例子我用这个工具扫描了一下我的博客[*] Checking ...工具开始对目标 URL 发起检测。[] Generic Detection results:通用检测模块的结果。[-] No WAF detected by the generic detection核心结论—— 通用检测规则下没有发现该网站部署了 WAF。[~] Number of requests: 7本次探测总共发送了 7 次 HTTP 请求。⚠️ 这并不意味着该网站没有部署WAF可能只是防护机制较为隐蔽。换一个目标进行扫描www.baidu.com[*] The site ... seems to be behind a WAF核心结论—— 百度官网部署了 WAF 或其他安全防护方案。[~] Reason:判断依据正常请求的响应头 Server 字段为 BWS/1.1百度自研 Web 服务器。携带攻击特征的请求触发防护后响应头 Server 字段变为 Apache说明防护系统对异常请求做了差异化处理。百度官网存在 WAF 类安全防护工具通过观察异常请求与正常请求的响应头差异确认了防护系统的存在。防护行为特征对正常请求返回真实服务器标识 BWS/1.1对疑似攻击请求则伪装为 Apache 标识避免暴露真实后端架构。注意这并不代表具体 WAF 产品型号仅能确认存在应用层防护机制。其实你也可以看出来这个工具只是说可以帮你进行一个初步的探测而没办法直接告诉你WAF的种类还是要看自己对于这方面的经验。