Определяем тип WAF с помощью WafW00f
В этой статье расскажем об инструменте WafWoof и покажем, как им можно пользоваться на Kali Linux.
Last updated
В этой статье расскажем об инструменте WafWoof и покажем, как им можно пользоваться на Kali Linux.
Last updated
WAF (Web Application Firewall) — это система, которая устанавливается перед веб-сервером. Она помогает обнаружить и заблокировать различные виды атак на веб-приложения. Сюда входят различные SQL-инъекции, XSS и другие.
WafW00f (Web Application Firewall Detection Tool) — это инструмент для определения WAF с использованием фильтров веб-безопасности. Работает путем отправки специально сформированных HTTP-запросов на целевой сайт. Через анализ ответов, инструмент понимает, есть ли там WAF. Но и это не всё: WafW00f может также попытаться определить версию и производителя используемого фильтра.
1. WafW00f предустановлен в Kali Linux. Если вы используете урезанную версию Kali Linux, вот команда:
2. Заходим в справку:
3. Вводим синтаксис для определения WAF:
4. На скрине выше видим, что сайт example.com работает за WAF (в данном случае используется Edgecast, dotDefender). Зная эту информацию, можно найти возможные способы обхода WAF.
5. Можно использовать список сайтов в формате csv или json:
6. На следующем скриншоте мы видим результат.
