最新WAF信息收集技术

WAF的详细介绍将在第5章展开,本节针对WAF信息收集进行讲解。

目前,市面上的WAF大多都部署了云服务进行防护加固,让WAF的防护性能得到进一步提升。

1-32所示为安全狗最新版服务界面,增加了“加入服云”选项。

 

 1-32   

 

安全狗最新版服务界面,不仅加强了传统的WAF防护层,还增加了服云选项。通过增加此类服云选项,增加云端管理、云监控等功能,不局限在单纯的软件WAF层面。

1.通过常见的WAF的特征进程和特征服务判断WAF的类型

1)安全狗。

服务名:

SafeDogCloudHelper。

SafeDogUpdateCenter。

SafeDogGuardCenter。

 

进程名:

SafeDogSiteApache.exe。

SafeDogSiteIIS.exe。

SafeDogTray.exe。

 

2)D盾。

服务名:

d_safe。

 

进程名:

D_Safe_Manage.exe。  

d_manage.exe。

 

3)云锁。

服务名:

YunSuoAgent/JtAgent。

YunSuoDaemon/JtDaemon。

 

进程名:

yunsuo_agent_service.exe。  

yunsuo_agent_daemon.exe。

PC.exe。

 

2.自动化WAF识别和检测工具

针对WAF的识别和检测,也有相应的自动化工具。目前常见的工具有Wafw00f、SQLMap、Nmap等,这里简要介绍Wafw00f的用法。

Wafw00f的工作原理如下。

第一步,发送正常的HTTP请求并分析响应。如果有明显特征,则直接显示结果;如果无明显特征,则进行第二步。

第二步,它将发送许多(可能是恶意的)HTTP请求,并使用简单的逻辑来推断目标网站使用的是哪个WAF。如果不成功,就进行第三步。

第三步,它将分析先前返回的响应,并使用另一种简单算法来猜测WAF或安全解决方案是否正在积极响应攻击。

输入wafw00f --help或wafw00f -h,可以看到很多使用参数,读者可以自行使用需要的参数,如图1-33所示。

 

 1-33

 

更多工具的使用,例如是否启用全WAF扫描、输入、输出及设置代理和请求头等参数可查看帮助选项。读者可以通过帮助选项更好地选择需要的扫描参数。

“wafw00f -l”命令可以直接列出能够识别出的WAF类型。限于篇幅,这里仅列出部分可识别的WAF类型,如图1-34所示。

 

 1-34 

 

可以直接使用Wafw00f,不加任何参数,直接检测某网站是否存在WAF。如图1-35所示,对“ms08067.com”进行WAF检测。

 

 1-35

 

图中的检测结果显示此网站使用了一个WAF或一组安全规则,并且给出了判断依据(因为服务器的响应头在被攻击状态下返回了不同的值,所以做出了存在WAF的判断)。若读者想要更好地识别具体是哪一种WAF,可以加入不同的参数。当然,工具也会存在误报的情况,这时就需要手动测试识别。

 

END

 

 

 

 

Ms08067安全实验室专注于网络安全知识的普及和培训,是专业的“图书出版+培训”的网络安全在线教育平台,专注于网络安全领域中高端人才培养。

 

平台已开设Web安全零基础就业,Web高级安全攻防进阶,红队实战攻防特训,Java代码安全审计,恶意代码分析与免杀实战,CTF基础实战特训营,网络安全应急响应,安全工具开发,AI与网络安全等系统培训课程。实验室出版安全图书《Web安全攻防:渗透测试实战指南》、《内网安全攻防:渗透测试实战指南》、《Python安全攻防:渗透测试实战指南》、《Java代码审计:入门篇》等。

 

现双11活动来袭,添加客服了解活动详情&获取网安学习资料

 

posted @ 2023-11-09 13:36  Ms08067安全实验室  阅读(53)  评论(0编辑  收藏  举报