当前位置:网站首页>【Web攻防】WAF检测技术图谱
【Web攻防】WAF检测技术图谱
2022-07-05 16:23:00 【菠萝_橙留香】
欢迎新同学的光临
… …
人若无名,便可专心练剑
我不是一条咸鱼,而是一条死鱼啊!
WAF检测技术图谱
- 从浏览器发出普通的GET请求,拦截并记录响应头(特别是cookie)
- 从命令行(例如cURL)发出请求,并测试响应内容和标头(不包括user-agent)
- 向随机开放的端口发出GET请求,并抓住可能暴露WAF身份的标语
- 如果某处有登录页面,表单页面等.请尝试一些常见的(易于检测的)有效负载,例如 " or 1=1 -- -
- 将../../../etc/passwd附加到URL末尾的随机参数
- 在url的末尾添加一些吸引人的关键字,如'or sleep(5)'
- 使用过时的协议(如http/0.9)发出get请求(http/0.9不支持post类型查询)
- 很多时候,waf根据不同的交互类型改变服务器头
- 删除操作技术:发送一个原始的fin/rst包到服务器并识别响应
- 侧通道攻击:检查请求和响应内容的计时行为
识别工具
- wafw00f https://github.com/enablesecurity/wafw00f
- identywaf https://github.com/stamparm/identywaf
看图识WAF(待更新)
- 长亭Safeline
- openRasp
- F5 WAF
- 安全狗
- D盾
- 亚信安全WAF
- 云锁
- UPUPW安全防护
- 宝塔WAF
- 网防G01
- 护卫神
- 智创防火墙
- 360主机卫士或360webscan
- 西数WTS-WAF
- Naxsi WAF
- 腾讯云
- 腾讯门神
- 腾讯宙斯盾
- 百度云
- 华为云
- 网宿云
- 创宇盾
- 玄武盾
- 阿里云盾
- 360网站卫士
- 奇安信网站卫士
- 安域云WAF
- 铱讯WAF
- 安恒明御WAF
- Mod_Security WAF
- dotDefender WAF
- 未知云WAF
图片来源如下:
https://www.mad-coding.cn/2019/12/19/waf的识别与绕过(不断补充)
https://mp.weixin.qq.com/s/4Ea-5Mm3mtHlU8mc7vuRZg
我自横刀向天笑,去留肝胆两昆仑
边栏推荐
- Detailed explanation of use scenarios and functions of polar coordinate sector diagram
- Jarvis OJ Webshell分析
- Summary of PHP pseudo protocol of cisp-pte
- How can C TCP set heartbeat packets to be elegant?
- Can you help me see what the problem is? [ERROR] Could not execute SQL stateme
- 【刷題篇】鹅廠文化衫問題
- Sentinel-流量防卫兵
- 【729. 我的日程安排錶 I】
- 解决CMakeList find_package找不到Qt5,找不到ECM
- Games101 notes (II)
猜你喜欢
Copy mode DMA
拷贝方式之DMA
干货!半监督预训练对话模型 SPACE
Practical example of propeller easydl: automatic scratch recognition of industrial parts
Clear restore the scene 31 years ago, volcanic engine ultra clear repair beyond classic concert
PHP talent recruitment system development source code recruitment website source code secondary development
养不起真猫,就用代码吸猫 -Unity 粒子实现画猫咪
Cs231n notes (bottom) - applicable to 0 Foundation
Jarvis OJ Flag
Win11提示无法安全下载软件怎么办?Win11无法安全下载软件
随机推荐
C# TCP如何设置心跳数据包,才显得优雅呢?
【剑指 Offer】61. 扑克牌中的顺子
Android privacy sandbox developer preview 3: privacy, security and personalized experience
Hiengine: comparable to the local cloud native memory database engine
网站页面禁止复制内容 JS代码
[brush questions] effective Sudoku
C# TCP如何限制单个客户端的访问流量
If you can't afford a real cat, you can use code to suck cats -unity particles to draw cats
Iphone14 with pill screen may trigger a rush for Chinese consumers
Android 隐私沙盒开发者预览版 3: 隐私安全和个性化体验全都要
Games101 notes (II)
Solution of vant tabbar blocking content
Accès aux données - intégration du cadre d'entité
[brush title] goose factory shirt problem
文件操作--I/O
Jarvis OJ Telnet Protocol
[61dctf]fm
Deep learning plus
Jarvis OJ Webshell分析
Learnopongl notes (II) - Lighting