https://github.com/EnableSecurity/wafw00f
kali 系统自带
└─# wafw00f --help
用法:wafw00f url1 [url2 [url3 ... ]] 。
例如:wafw00f http://www.victim.org/
选项。
-h, --help 显示此帮助信息并退出
-v, --verbose 启用详细说明,多个-v选项会增加详细说明。
详尽性
-a, --findall 查找所有符合签名的WAF,不要在第一个WAF上停止测试。
在第一个WAF上停止测试
-r, --noredirect 不跟随3xx响应的重定向。
-t TEST, --test=TEST 对一个特定的WAF进行测试
-o OUTPUT, --output=OUTPUT
将输出写入csv、json或文本文件,具体取决于
文件扩展名。对于stdout,指定-作为文件名。
-i INPUT, --input-file=INPUT
从一个文件中读取目标。输入格式可以是csv,
json或文本。对于csv和json,需要一个`url'列名或
元素是必需的。
-l, --list 列出WAFW00F能够检测的所有WAFs
-p PROXY, --proxy=PROXY
使用一个HTTP代理来执行请求,例子。
http://hostname:8080,socks5://hostname:1080。
http://user:pass@hostname:8080
-V, --version 打印出WafW00f的当前版本并退出。
-H HEADERS, --headers=HEADERS
通过一个文本文件传递自定义头文件,以覆盖
默认的头文件集。
# 测试 是否存在waf
wafw00f jd.com
[*] Checking https://jd.com
[+] Generic Detection results:
[*] The site https://jd.com seems to be behind a WAF or some sort of security solution
[~] Reason: The server returns a different response code when an attack string is used.
Normal response code is "200", while the response code to a SQL injection attack is "444"
[~] Number of requests: 7
[*] Checking https://111111111.vip
[+] The site https://1111111111.vip is behind Cloudflare (Cloudflare Inc.) WAF.
[~] Number of requests: 2
浙公网安备 33010602011771号