最新WAF信息收集技术
WAF信息收集
目前,市面上的WAF大多都部署了云服务进行防护加固,让WAF的防护性能得到进一步提升。
图1-32所示为安全狗最新版服务界面,增加了“加入服云”选项。
安全狗最新版服务界面,不仅加强了传统的WAF防护层,还增加了服云选项。通过增加此类服云选项,增加云端管理、云监控等功能,不局限在单纯的软件WAF层面。
1.通过常见的WAF的特征进程和特征服务判断WAF的类型
(1)安全狗。
服务名:
SafeDogCloudHelper。
SafeDogUpdateCenter。
SafeDogGuardCenter。
进程名:
SafeDogSiteApache.exe。
SafeDogSiteIIS.exe。
SafeDogTray.exe。
(2)D盾。
服务名:
d_safe。
进程名:
D_Safe_Manage.exe。
d_manage.exe。
(3)云锁。
服务名:
YunSuoAgent/JtAgent。
YunSuoDaemon/JtDaemon。
进程名:
yunsuo_agent_service.exe。
yunsuo_agent_daemon.exe。
PC.exe。
2.自动化WAF识别和检测工具
针对WAF的识别和检测,也有相应的自动化工具。目前常见的工具有Wafw00f、SQLMap、Nmap等,这里简要介绍Wafw00f的用法。
Wafw00f的工作原理如下。
第一步,发送正常的HTTP请求并分析响应。如果有明显特征,则直接显示结果;如果无明显特征,则进行第二步。
第二步,它将发送许多(可能是恶意的)HTTP请求,并使用简单的逻辑来推断目标网站使用的是哪个WAF。如果不成功,就进行第三步。
第三步,它将分析先前返回的响应,并使用另一种简单算法来猜测WAF或安全解决方案是否正在积极响应攻击。
输入wafw00f --help或wafw00f -h,可以看到很多使用参数,读者可以自行使用需要的参数,如图1-33所示。
更多工具的使用,例如是否启用全WAF扫描、输入、输出及设置代理和请求头等参数可查看帮助选项。读者可以通过帮助选项更好地选择需要的扫描参数。
“wafw00f -l”命令可以直接列出能够识别出的WAF类型。限于篇幅,这里仅列出部分可识别的WAF类型,如图1-34所示。
可以直接使用Wafw00f,不加任何参数,直接检测某网站是否存在WAF。如图1-35所示,对“xxxx.com”进行WAF检测。
图中的检测结果显示此网站使用了一个WAF或一组安全规则,并且给出了判断依据(因为服务器的响应头在被攻击状态下返回了不同的值,所以做出了存在WAF的判断)。若读者想要更好地识别具体是哪一种WAF,可以加入不同的参数。当然,工具也会存在误报的情况,这时就需要手动测试识别。