当前位置:网站首页>【Web攻防】WAF检测技术图谱

【Web攻防】WAF检测技术图谱

2022-07-05 16:23:00 菠萝_橙留香

欢迎新同学的光临
… …
人若无名,便可专心练剑

我不是一条咸鱼,而是一条死鱼啊!

WAF检测技术图谱

  1. 从浏览器发出普通的GET请求,拦截并记录响应头(特别是cookie)
  2. 从命令行(例如cURL)发出请求,并测试响应内容和标头(不包括user-agent)
  3. 向随机开放的端口发出GET请求,并抓住可能暴露WAF身份的标语
  4. 如果某处有登录页面,表单页面等.请尝试一些常见的(易于检测的)有效负载,例如 " or 1=1 -- -
  5. 将../../../etc/passwd附加到URL末尾的随机参数
  6. 在url的末尾添加一些吸引人的关键字,如'or sleep(5)'
  7. 使用过时的协议(如http/0.9)发出get请求(http/0.9不支持post类型查询)
  8. 很多时候,waf根据不同的交互类型改变服务器头
  9. 删除操作技术:发送一个原始的fin/rst包到服务器并识别响应
  10. 侧通道攻击:检查请求和响应内容的计时行为

识别工具

  • wafw00f https://github.com/enablesecurity/wafw00f
  • identywaf https://github.com/stamparm/identywaf
 

看图识WAF(待更新)

  • 长亭Safeline

在这里插入图片描述

  • openRasp

在这里插入图片描述

  • F5 WAF
![在这里插入图片描述](https://img-blog.csdnimg.cn/d91789bd2e0d4c44a328881ef3359302.png)
  • 安全狗

在这里插入图片描述

  • D盾

在这里插入图片描述

  • 亚信安全WAF

在这里插入图片描述

  • 云锁

在这里插入图片描述

  • UPUPW安全防护

在这里插入图片描述

  • 宝塔WAF

在这里插入图片描述

  • 网防G01

在这里插入图片描述

  • 护卫神

在这里插入图片描述

  • 智创防火墙

在这里插入图片描述

  • 360主机卫士或360webscan

在这里插入图片描述

  • 西数WTS-WAF

在这里插入图片描述

  • Naxsi WAF

在这里插入图片描述

  • 腾讯云

在这里插入图片描述

  • 腾讯门神

在这里插入图片描述

  • 腾讯宙斯盾

在这里插入图片描述

  • 百度云

在这里插入图片描述

  • 华为云

在这里插入图片描述

  • 网宿云

在这里插入图片描述

  • 创宇盾

在这里插入图片描述

  • 玄武盾

在这里插入图片描述

  • 阿里云盾

在这里插入图片描述

  • 360网站卫士

在这里插入图片描述

  • 奇安信网站卫士

在这里插入图片描述

  • 安域云WAF

在这里插入图片描述

  • 铱讯WAF

在这里插入图片描述

  • 安恒明御WAF

在这里插入图片描述

  • Mod_Security WAF

在这里插入图片描述

  • dotDefender WAF

在这里插入图片描述

  • 未知云WAF

在这里插入图片描述

图片来源如下:

https://www.mad-coding.cn/2019/12/19/waf的识别与绕过(不断补充)

https://mp.weixin.qq.com/s/4Ea-5Mm3mtHlU8mc7vuRZg

我自横刀向天笑,去留肝胆两昆仑

原网站

版权声明
本文为[菠萝_橙留香]所创,转载请带上原文链接,感谢
https://orangey.blog.csdn.net/article/details/125589692

边栏推荐

猜你喜欢

随机推荐