96、检测WAF存不存在——2022年6月7日11:14:49

【wafw00f】:

项目地址：

https://github.com/sandrogauci/wafw00f

WAFW00F是识别和指纹Web应用防火墙（WAF）产品，其工作原理是首先通过发送一个正常http请求，然后观察其返回有没有一些特征字符，若没有在通过发送一个恶意的请求触发waf拦截来获取其返回的特征来判断所使用的waf。

由于笔者写这篇文章时，虚拟机出现问题无法上网，所以在windows系统上进行了实验，linux系统的使用方法和windows上类似，就直接在windows上进行实验了。

windows系统下：

在cmd命令行下，进入wafw00f目录，然后安装wafw00f:

C:\wafw00f>python setup.py install

下载wafw00f 安装成功以后，进入当前目录的wafw00f目录下：

运行main.py可执行wafw00f:

输入命令python main.py www.xxoo.com 可对网站进行waf检测：

存在waf:

不存在waf:

【sqlmap】:

Sqlmap是一款检测和利用SQLi漏洞工具，也是基于python编写，业内认同率较高，sqlmap用来探测WAF类型想比较Wafw00f来说还多一些.

项目地址：

https://github.com/sqlmapproject/sqlmap

sqlmap检测waf的命令是：

sqlmap.py -u "http://www.xxoo.com/shownnews.asp?id=4821" --identify-waf

不存在waf:

存在waf:

【手工检测】

有些时候访问网站时在url地址后面输入一些【'】【and 】【and 1=1】等SQL语句时会被waf检测到并回显出来网站的waf:

360网站卫士：

D盾：

安全狗：

阿里云盾：