Web应用程序waf指纹识别工具WAFW00F

Web应用程序防火墙指纹识别工具

原理：

• 发送正常的 HTTP请求并分析响应；这确定了许多WAF解决方案。
• 如果不成功，则发送多个（可能是恶意的）HTTP请求，并使用简单的逻辑来取代它是其中WAF。
• 如果还是不成功，则分析先前回复的响应，并使用另一种简单算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击。

安装：

github地址：https://github.com/EnableSecurity/wafw00f

官方使用文档：https://github.com/enablesecurity/wafw00f/wiki

安装环境：python3环境 --->使用 pip install wafw00f 进行安装

安装成功后目录：python安装目录中的Lib\site-packages\wafw00f--->例如：C:\Python37\Lib\site-packages\wafw00f

验证：cd到C:\Python37\Lib\site-packages\wafw00f目录中，输入python main.py  如下图说明安装成功

实战

windows命令窗口中cd到wafw00f目录中：

查看wafw00f能探测那些防火墙：

执行：python main.py  -l   如图列出防火墙

探测web站是否存在waf

例1：https://example.org    （该网站存在waf）

执行：python main.py  https://example.org

 例2：https://www.baidu.com  (百度肯定有waf）

 例3：http://192.168.10.7:85/pikachu-master/vul/rce/rce_ping.php   （不存在waf）