Waf识别工具和83个Waf拦截页面
微信公众号:乌鸦安全
扫取二维码获取更多信息!
01 介绍
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
02 常见的waf分类
2.1 云waf
百度安全宝、阿里云盾、长亭雷池等
2.2 硬件waf
绿盟的、深信服的
2.3 软件waf
安全狗、D盾、云锁等
2.4 代码级waf
自己写的waf规则,防止出现注入等,一般是在代码里面写死的(这里是一般情况)
03 常见的waf拦截页面(83个国内外WAF)
以下截图均来自于下方GitHub,而且我也没有修改文件的名称,如果有需要,请自行前往GitHub查阅,或收藏本页面
https://github.com/stamparm/identYwaf/tree/master/screenshots360.png
aesecure.png
airlock.png
alertlogic.png
aliyundun.png
anquanbao.png
approach.png
armor.png
asm.png
astra.png
aws.png
barracuda.png
bekchy.png
bitninja.png
bluedon.png
bulletproof.png
cdnns.png
cerber.png
chuangyu.png
cloudbric.png
cloudflare.png
cloudfront.png
comodo.png
crawlprotect.png
distil.png
dotdefender.png
duedge.png
expressionengine.png
fortiweb.png
godaddy.png
greywizard.png
gtmc.png
imunify360.png
incapsula.png
janusec.png
jiasule.png
kona.png
kuipernet.png
malcare.png
modsecurity.png
naxsi.png
netscaler.png
newdefend.png
nexusguard.png
ninjafirewall.png
onmessageshield.png
openrasp.png
paloalto.png
profense.png
radware.png
reblaze.png
requestvalidationmode.png
rsfirewall.png
safe3.png
safedog.png
safeline.png
secupress.png
secureentry.png
secureiis.png
securesphere.png
shieldsecurity.png
siteground.png
siteguard.png
sitelock.png
sonicwall.png
squarespace.png
stackpath.png
sucuri.png
tencent.png
urlmaster.png
urlscan.png
virusdie.png
vsf.png
wallarm.png
watchguard.png
webarx.png
webknight.png
webland.png
wordfence.png
wts.png
yundun.png
yunsuo.png
zenedge.png
04 waf识别工具
4.1 工具原理
识别WAF,可以在WAF指纹目录下自行编写脚本。这类WAF识别工具的原理基本都是根据HTTP头部信息、状态码以及WAF拦截页中的图片、文字作为特征来进行检测
4.2 waf识别工具:wafw00f
下载链接地址:
https://github.com/EnableSecurity/wafw00f5.2.1 安装教程
wafw00f 在已安装python的环境中,可通过pip进行安装。
pip3 install wafw00f
安装之后,直接:wafw00f(mac下)
windows下:
pip3 install wafwoof
cd c:\python\lib\site-packages\wafw00f\python main.py
通过命令 wafw00f -l 可以列出可识别的waf
WAF Name Manufacturer-------- ------------ACE XML Gateway CiscoaeSecure aeSecureAireeCDN AireeAirlock Phion/ErgonAlert Logic Alert LogicAliYunDun Alibaba Cloud ComputingAnquanbao AnquanbaoAnYu AnYu TechnologiesApproach ApproachAppWall RadwareArmor Defense ArmorArvanCloud ArvanCloudASP.NET Generic MicrosoftASPA Firewall ASPA Engineering Co.Astra Czar SecuritiesAWS Elastic Load Balancer AmazonAzionCDN AzionCDNAzure Front Door MicrosoftBarikode Ethic NinjaBarracuda Barracuda NetworksBekchy Faydata Technologies Inc.Beluga CDN BelugaBIG-IP Local Traffic Manager F5 NetworksBinarySec BinarySecBitNinja BitNinjaBlockDoS BlockDoSBluedon Bluedon ISTBulletProof Security Pro AITpro SecurityCacheWall VarnishCacheFly CDN CacheFlyComodo cWatch Comodo CyberSecurityCdnNS Application Gateway CdnNs/WdidcNetChinaCache Load Balancer ChinaCacheChuang Yu Shield YunaqCloudbric Penta SecurityCloudflare Cloudflare Inc.Cloudfloor Cloudfloor DNSCloudfront AmazonCrawlProtect Jean-Denis BrunDataPower IBMDenyALL Rohde & Schwarz CyberSecurityDistil Distil NetworksDOSarrest DOSarrest Internet SecurityDotDefender Applicure TechnologiesDynamicWeb Injection Check DynamicWebEdgecast Verizon Digital MediaEisoo Cloud Firewall EisooExpression Engine EllisLabBIG-IP AppSec Manager F5 NetworksBIG-IP AP Manager F5 NetworksFastly Fastly CDNFirePass F5 NetworksFortiWeb FortinetGoDaddy Website Protection GoDaddyGreywizard Grey WizardHuawei Cloud Firewall HuaweiHyperGuard Art of DefenseImunify360 CloudLinuxIncapsula Imperva Inc.IndusGuard IndusfaceInstart DX Instart LogicISA Server MicrosoftJanusec Application Gateway JanusecJiasule JiasuleKona SiteDefender AkamaiKS-WAF KnownSecKeyCDN KeyCDNLimeLight CDN LimeLightLiteSpeed LiteSpeed TechnologiesOpen-Resty Lua Nginx FLOSSOracle Cloud OracleMalcare InactivMaxCDN MaxCDNMission Control Shield Mission ControlModSecurity SpiderLabsNAXSI NBS SystemsNemesida PentestItNevisProxy AdNovumNetContinuum Barracuda NetworksNetScaler AppFirewall Citrix SystemsNewdefend NewDefendNexusGuard Firewall NexusGuardNinjaFirewall NinTechNetNullDDoS Protection NullDDoSNSFocus NSFocus Global Inc.OnMessage Shield BlackBaudPalo Alto Next Gen Firewall Palo Alto NetworksPerimeterX PerimeterXPentaWAF Global Network ServicespkSecurity IDS pkSecPT Application Firewall Positive TechnologiesPowerCDN PowerCDNProfense ArmorLogicPuhui PuhuiQiniu Qiniu CDNReblaze ReblazeRSFirewall RSJoomla!RequestValidationMode MicrosoftSabre Firewall SabreSafe3 Web Firewall Safe3Safedog SafeDogSafeline Chaitin Tech.SecKing SecKingeEye SecureIIS BeyondTrustSecuPress WP Security SecuPressSecureSphere Imperva Inc.Secure Entry United Security ProvidersSEnginx NeusoftServerDefender VP Port80 SoftwareShield Security One Dollar PluginShadow Daemon ZecureSiteGround SiteGroundSiteGuard Sakura Inc.Sitelock TrueShieldSonicWall DellUTM Web Protection SophosSquarespace SquarespaceSquidProxy IDS SquidProxyStackPath StackPathSucuri CloudProxy Sucuri Inc.Tencent Cloud Firewall Tencent TechnologiesTeros Citrix SystemsTrafficshield F5 NetworksTransIP Web Firewall TransIPURLMaster SecurityCheck iFinity/DotNetNukeURLScan MicrosoftUEWaf UCloudVarnish OWASPViettel CloudrityVirusDie VirusDie LLCWallarm Wallarm Inc.WatchGuard WatchGuard TechnologiesWebARX WebARX Security SolutionsWebKnight AQTRONIXWebLand WebLandRayWAF WebRay SolutionsWebSEAL IBMWebTotem WebTotemWest263 CDN West263CDNWordfence DefiantWP Cerber Security Cerber TechWTS-WAF WTS360WangZhanBao 360 TechnologiesXLabs Security WAF XLabsXuanwudun XuanwudunYundun YundunYunsuo YunsuoYunjiasu Baidu Cloud ComputingYXLink YxLink TechnologiesZenedge ZenedgeZScaler Accenture5.2.2 wafw00f识别实例
wafw00f http://www.xxx.com/view_detail.asp\?id\=78
在这里可以识别出来为WTS
5.3 waf识别工具:identYwaf
下载地址:
https://github.com/stamparm/identywaf在identYwaf中有一个文件夹:screenshots,在这里面一共存放了83个waf的拦截页面,也就是上面本文发的。
使用方法:
python3 identYwaf.py http://www.xxx.com/view_detail.asp\?id\=78无论是何种识别工具,都存在一定的误报或无法识别等,所以有些时候需要人工进行判断,以上信息仅供参考!
如果无法访问GitHub,可以在公众号回复 waf识别 下载wafw00f和identYwaf文件。
微信公众号:乌鸦安全
扫取二维码获取更多信息!
Waf识别工具和83个Waf拦截页面相关推荐
- 绕过WAF与识别工具
WAF简介 WAF对于一些常规漏洞(如注入漏洞.XSS漏洞.命令执行漏洞.文件包含漏洞)的检测大多是基于"正则表达式"和"AI+规则"的方法,因此会有一定的概率 ...
- 最实用的CDN绕过-CMS识别-WAF识别技术总结
0x00 CDN,CMS,WAF简介 1.CDN即内容分发网络,起初是为了提高网络的通讯效率,后被用于IP的隐藏技术. 2.CMS即一个网站的成形开源框架,根据不同的版本不同的种类,可以方便的网站的一 ...
- wafw00f--一款基于python识别网站WAF的工具
渗透时候经常会被waf之类的拦截,这时候需要知道目标站点使用了什么防火墙,然后才能根据对应防火墙寻找绕过的姿势.wafw00f就是一款识别网站防火墙的工具. 文章目录 简介 原理 项目地址 命令参数 ...
- WAF识别软件(WAFW00F)以及WAF绕过
责任声明: 本文章仅供学习交流使用,如有利用进行非法行为 上传者不承担任何责任,使用者后果自负 WAF防护分析 什么是WAF? Web应用防护系统分为两种:软件与硬件 安全公司内部的为硬件,个人或小企 ...
- 干活|常见WAF拦截页面总结
前言 去年年底看到@madcoding老哥博客的"Waf的识别与绕过"一文中搜集了不少WAF拦截页面,正好我平时也有搜集WAF拦截页面的习惯,所以结合他的一起整理成了这么一篇文章, ...
- 干货!常见waf识别
公粽号:黒掌 一个专注于分享网络安全.黑客圈热点.黑客工具技术区博主! WAF可分为许多种,从产品形态上来划分,可以大致分为三类: 1.硬件设备类 目前安全市场上,大多数的 WAF都属于此类.它们以一 ...
- sqlmap waf识别模块identYwaf
知己知彼,百战不殆. WAF是什么?假设大家都知道了,如果想绕过WAF,首先得清楚,waf是哪个厂的,有哪些特点.waf是哪个厂的可以通过返回的一些特征来判断,当然,WAF完全有可能隐藏自己背后的厂商 ...
- (46.4)【WAF绕过】基于工具的使用绕过WAF、WAFNinja、burpsuite、sqlmap、Fuzz/爆破、wafw00f
目录 一.WAFNinja(自动化绕WAF的实用渗透工具) 二.burpsuite 三.sqlmap 3.1.使用自带脚本 3.1.1.检测是否有waf 3.1.2.waf拦截 3.1.3.测试 3. ...
- app信息收集和waf识别
waf Web应用防护系统(也称为:网站应用级入侵防御系统.英文:Web Application Firewall,简称: WAF).利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HT ...
最新文章
- jexus防止产生 *.core文件
- EntLib.com Forum – 开源ASP.NET论坛 v4.0(提供源码下载)
- c 自定义实现string类 clear_CC++语言15|类的继承和派生实现代码重用、扩充
- matlab读取时间数据,Matlab有关数据库读取及时间项的设定
- 如何使用txt文件实现JMeter参数化
- 服务器主板显示B1,电脑检测卡显示b1是啥意思
- RR调度(Round-robin scheduling)简单介绍
- (附源码)APP+springboot订餐APP 毕业设计 190711
- 【边喝caffee边Caffe 】(二)python版本的报错:Mean shape incompatible with input shape
- 三维点云处理(5)——Clustering
- Java数据结构与算法-程序员十大常用算法[day13]
- 苹果手机如何切换沙盒账号登录
- Redis 各种用法总结,你知道几种?
- linux之awk基础
- 学习Python之旅
- 使用Hexo搭建个人博客-保姆级教程
- P3303 [SDOI2013]淘金
- pycharm debug Can‘t process net command: 501 1 0.1 WIN
- office365 ppt创意方法(3d模型)
- BIGGAN代码以及训练参数,超级清晰版(CIFAR10数据集生成)