首先我们需要知道waf的种类,已经出现的waf的产品,这部分东西,可以看下这个链接:
https://www.freebuf.com/articles/web/115407.html
可能文章有点旧,大概了解下吧
我自己知道的waf比较少,安全狗啊,云盾啊,额好像就知道两个,哈哈哈!!!
每天被自己菜醒,哈哈哈,草,好好学习!
**
**
WAF指纹:WAF开发人员使用不同的方法通知用户请求被阻止,因此,可以通过分析对攻击请求的响应来识别WAF。
如果WAF由于某种原因没有更新,那么指纹会有所帮助。专有WAF的开发人员关心他们的客户并实现自动更新。此外,一旦我们确定了WAF,我们仍然可以使用关于它的信息来了解它的逻辑。
以下是可能的WAF指纹列表:
额外的cookie;
任何响应或请求的附加标头;
响应内容(如果被阻止请求);
响应代码(如果被阻止请求);
IP地址(云WAF);
JS客户端模块(客户端WAF)。
个人理解:其实就是一个信息收集的东西啦,去识别出是什么waf产品,然后就好办啦,大多数公司用的都是市面上的东西,自己独立做的还不给别人用的很少的,毕竟开发成本也是钱啊。
**
**
1 PT AF
被阻止请求的响应代码:403,可以将客户端模块waf.js插入响应页面,响应对象如下:
Forbidden
Request ID: 2017-07-31-13-59-56-72BCA33A11EC3784
由waf.js添加的额外标头:
X-RequestId: cbb8ff9a-4e91-48b4-8ce6-1beddc197a30
2 Nemesida WAF
被阻止请求的响应代码:403,响应对象如下:
Suspicious activity detected. Access to the site is blocked.
If you think that is's an erroneous blocking, please email us at
specify your IP-address.
3 Wallarm
被阻止请求的响应代码:403,附加标头:nginx-wallarm。
4 Citrix NetScaler AppFirewall
额外的cookie:
ns_af=31+LrS3EeEOBbxBV7AWDFIEhrn8A000;
ns_af_.target.br_%2F_wat=QVNQU0VTU0lP
TklEQVFRU0RDU0Nf?6IgJizHRbTRNuNoOpbBOiKRET2gA
5 Mod_Security ver. 2.9
被阻止请求的响应代码:403,响应对象如下:
Forbidden
You don't have permission to access /form.php on this server.
6 Mod_Security ver. 2.9
被阻止请求的响应代码:406或501,在响应对象中,你可以找到mod_security、mod_security或NOYB。
7 Varnish防火墙
将以下标头添加到响应中:
X-Varnish: 127936309 131303037.
X-Varnish: 435491096
Via: 1.1 varnish-v4
WAF开发人员自己决定在阻止请求时返回哪些响应代码以及一些特定的代码。例如,Web_Knight WAF返回代码999, 并且dotDefender返回带有空响应对象或错误消息的代码200。除此之外,开发人员还可以使用其他内容定制响应页面。
WAF和其他应用程序一样,也在不断发展和变化。这就是为什么经常检查指纹的相关性很重要。
**
**
以上都是从响应中进行分析总结的,其实应该还有很多方法可以识别,这需要大量的经验积累,大佬们应该都有自己的一套经验,还要多搜搜百度看看。
我知道的,像典型的护卫神,好像在网页还是响应中,有hws三个字母啥的,应该是这样,所以不同的waf有不同的特征,需要自己多发现,多总结。
以上信息参考:https://mp.weixin.qq.com/s/3nuzMBqBoTwZCHsnEGIjeA