常见WAF的识别与检测
发布日期:2021-07-09WAF简介:
WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通俗来说就是WAF产品里集成了一定的检测规则,会对每个请求的内容根据生成的规则进行检测并对不符合安全规则的作出对应的防御处理,从而保证Web应用的安全性与合法性。
云WAF:
创宇盾:https://defense.yunaq.com/cyd/
玄武盾:https://www.dbappsecurity.com.cn/show-55-64-1.html
阿里云盾:https://security.aliyun.com/
360磐云:https://webscan.360.cn/service/panyun
AWS:https://aws.amazon.com/cn/
硬WAF:
绿盟:https://www.nsfocus.com.cn/
天融信:http://www.topsec.com.cn/
深信服:https://www.sangfor.com.cn/
启明星辰:https://www.venustech.com.cn/
知道创宇:https://www.knownsec.com/#/
安恒:https://www.dbappsecurity.com.cn/
铱迅:https://www.yxlink.com/
软WAF:
D盾:http://www.d99net.net/
云锁:http://www.yunsuo.com.cn/
安全狗:https://www.safedog.cn/
护卫神:https://www.hws.com/
智创:https://www.zcnt.com/
悬镜:https://www.xmirror.cn/
安骑士:https://help.aliyun.com/product/28449.html
UPUPW:https://www.upupw.net/
WTS-WAF:https://www.west.cn/
dotDefender:http://www.applicure.com/Products/
网防:http://www.weishi110.cn/static/index.html
WAF的部署方式:
透明网桥、反向代理、镜像流量、路由代理
常见WAF进程和服务:
安全狗
服务名:SafeDogCloudHelper、SafedogUpdateCenter、SafeDogGuardCenter(服务器安全狗守护中心)
进程名:SafeDogSiteApache.exe、SafeDogSiteIIS.exe、SafeDogTray.exe、SafeDogServerUI.exe、SafeDogGuardCenter.exe、CloudHelper.exe、SafeDogUpdateCenter.exe
护卫神·入侵防护系统
服务名:hws、hwsd、HwsHostEx/HwsHostWebEx(护卫神主机大师服务)
进程名:hws.exe、hwsd.exe、hws_ui.exe、HwsPanel.exe、HwsHostPanel.exe/HwsHostMaster.exe(护卫神主机大师)
D盾
服务名:d_safe
进程名:D_Safe_Manage.exe、d_manage.exe
云锁
服务端监听端口:5555
服务名:YunSuoAgent/JtAgent(云锁Windows平台代理服务)、YunSuoDaemon/JtDaemon(云锁Windows平台守护服务)
进程名:yunsuo_agent_service.exe、yunsuo_agent_daemon.exe、PC.exe
阿里云盾
服务名:Alibaba Security Aegis Detect Service、Alibaba Security Aegis Update Service、AliyunService
进程名:AliYunDun.exe、AliYunDunUpdate.exe、aliyun_assist_service.exe
腾讯云安全
进程名:BaradAgent.exe、sgagent.exe、YDService.exe、YDLive.exe、YDEdr.exe
360主机卫士
服务名:QHWafUpdata
进程名:360WebSafe.exe、QHSrv.exe、QHWebshellGuard.exe
网防G01政府网站综合防护系统(“云锁”升级版)
服务端监听端口:5555
服务名:YunSuoAgent、YunSuoDaemon(不知是否忘了替换了!)
进程名:gov_defence_service.exe、gov_defence_daemon.exe
WAF检测工具:
Wafw00f
工作原理:
发送正常的HTTP请求并分析响应;这确定了许多WAF解决方案。
如果不成功,它将发送许多(可能是恶意的)HTTP请求,并使用简单的逻辑来推断出它是哪个WAF。
如果还是不成功,它将分析先前返回的响应,并使用另一种简单算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击。
利用:python wafw00f.py http://www.xxxx.com/
项目地址:https://github.com/EnableSecurity/wafw00f
sqlmap
工作原理:在sqlmap中检测waf的方式是传入一个网址,获取网址内容与头部信息,然后检测是否存在该waf的特征值,如果存在,就让retval为真并且返回这个值大致检测思路:构造恶意payload -> 检查响应 -> 检查相似度 -> 判断WAF
利用:python sqlmap.py -u “http://www.victim.org/ex.php?id=1” --identify-waf
项目地址:http://sqlmap.org/
nmap
工作原理:与sqlmap类似
利用:
nmap -p 80,443 --script=http-waf-detect 目标主机
nmap -p 80,443 --script=http-waf-fingerprint 目标主机(精度更高)
项目地址:https://nmap.org/
WhatWaf
工作原理:检测Web应用程序上的防火墙,然后尝试在指定目标上检测到该防火墙的旁路(或两个)。
利用:./whatwaf -[u|l|b|g] VALUE|PATH|PATH|PATH [-p|--pl] PAYLOAD,..|PATH [--args]
项目地址:https://github.com/Ekultek/WhatWaf