首页 > 其他分享 >WAF指纹识别

WAF指纹识别

时间:2024-06-17 20:11:52浏览次数:9  
标签:github .. -- 指纹识别 https WAF com

什么是WAF

定义

Web Application Firewall --- Web 应用防火墙
过滤HTTP或者HTTPS的请求,识别并拦截恶意的请求

类型

硬件型 WAF
云 WAF
软件型 WAF

常见WAF厂商

各种云:阿里云、腾讯云、华为云、百度云……
安全狗、宝塔、360、知道创宇、长亭、安恒…

WAF的识别思路

方法

1.额外的cookie,比如云锁
2.任何响应或请求的附加标头,比如安全宝
3.响应内容(如果被阻止请求)增加标识,比如DotDefender, Armor, Sitelock
4.响应代码(如果被阻止请求),比如WebKnight, 360 WAF

指纹库

https://github.com/CSecGroup/wafid/blob/master/finger.xml

怎么触发WAF

URL或者表单输入恶意内容

xsstring = ''
sqlistring = "UNION SELECT ALL FROM information_schema AND ' or SLEEP(5) or '"
lfistring = '../../../../etc/passwd'
rcestring = '/bin/cat /etc/passwd; ping 127.0.0.1; curl google.com'
xxestring = ']>&hack;'

WAF的识别工具

Kali自带

wafw00f https://www.12306.cn
https://github.com/EnableSecurity/wafw00f

Nmap

nmap www.12306.cn --script=http-wafdetect.nse

sqlmap

sqlmap -u "https://pinpai.smzdm.com/1773/gushi/?id=1" --identify-waf --batch

其他

https://github.com/0xInfection/Awesome-WAF

标签:github,..,--,指纹识别,https,WAF,com
From: https://www.cnblogs.com/txnb/p/18253126

相关文章

  • CMS指纹识别
    什么是指纹识别?定义根据关键特征,识别程序名称、版本等信息对象1.CMS信息:比如Discuz、织梦、帝国CMS、PHPCMS、ECshop等;2.前端技术:比如HTML5、jquery、bootstrap、Vue、ace等;3.开发语言:比如PHP、Java、Ruby、Python、C#等;4.Web服务器:比如Apache、Nginx,、IIS、lighttpd等;5......
  • 解决网站使用WAF后无法获取用户真实IP地址的问题
    请支持原文原创内容❤️:解决网站使用WAF后无法获取用户真实IP地址的问题|BOBOBlog10/06/2024在部署Web应用防火墙(WAF)以增强WordPress网站的安全性后,无法获取用户的真实IP地址,文章则详细介绍了如何在Nginx和Apache服务器上配置以解决这一问题。Nginx,如何使用set_real_ip_from......
  • 信息打点-协议应用_内网资产_CDN_WAF_负载均衡_防火墙
    服务信息获取-协议应用&内网资产常见端口默认对应的服务:特殊服务端口:端口扫描工具:旁注查询旁注查询,又称为旁站查询或同服务器网站查询,是一种信息安全和网络侦查技术,主要用于发现与目标网站托管在同一服务器上的其他网站。这种查询的目的通常与网络安全测试、情报收集......
  • 常见的WAF攻击类型
    SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。个人觉得:waf攻击的防御具有事后性,除非一些已经成熟的攻击类型和防御办法可以通过预制规则的方式建立起来。......
  • 云waf的负载均衡均衡流量分发功能
    概述云WAF(WebApplicationFirewall)是一种基于云计算环境的Web应用安全防护服务,主要用于保护Web应用程序免受各种网络攻击,如SQL注入、跨站脚本(XSS)、分布式拒绝服务(DDoS)攻击等。云WAF的负载均衡和流量分发功能指的是它能够利用云服务提供商的全球分发网络,实现分布式地处理流量......
  • 【长亭雷池WAF】介绍及“动态防护”功能深度体验
    一、介绍什么是雷池雷池(SafeLine)是长亭科技耗时近10年倾情打造的WAF,核心检测能力由智能语义分析算法驱动。Slogan:不让黑客越雷池半步。什么是WAFWAF是WebApplicationFirewall的缩写,也被称为Web应用防火墙。区别于传统防火墙,WAF工作在应用层,对基于HTTP/HTTPS......
  • 【WAF】雷池的动态防护深度体验
    1.前言随着网络安全的不断发展,我们看到了越来越多的技术和策略应用于保护个人和组织的数据免受恶意攻击和侵入。从传统的防火墙和反病毒软件到先进的人工智能和机器学习算法,网络安全领域正在不断创新和进步。未来,我们可以期待更多基于数据分析和预测的安全解决方案,以及对人工......
  • 雷池WAF-动态防护新功能体验
    雷池WAF雷池WAF(WebApplicationFirewall,网络应用防火墙)是由长亭科技开发的一个网络安全产品,它专注于保护Web应用免受黑客攻击。今天主要讲的是长亭雷池最近新出的功能:动态防护安装雷池WAF支持多种安装方式:sh脚本安装、离线安装、牧云助手安装本篇文章以牧云助手为例:(需要您......
  • 【WAF】雷池动态防护使用体验
    【WAF】雷池安装及使用体验前言在数字化时代,网络安全已成为维护国家安全、经济利益以及个人隐私的重要防线。随着网络攻击技术的不断进步和攻击手段的多样化,传统的静态防御机制已难以应对复杂多变的安全威胁。因此,动态防护的重要性日益凸显,它能够提供更为灵活和主动的安全防护手......
  • 长亭雷池WAF动态防护初体验
    去年文章中有写道长亭雷池的安装方法这里就不说,感兴趣的话可以去看看腾讯云部署雷池Web应用防火墙安装及使用体验,今天刚好看到雷池更新了动态防护这个功能挺震撼的,顺手写下初体验:之前写企业模版的时候很讨厌同行我刚写好,隔天同行就把我的界面cv过去了,最气人的是网站权重还比我......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99