常见WAF的识别与检测 – 作者:CA-沃通WoSign

WAF简介：

WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通俗来说就是WAF产品里集成了一定的检测规则，会对每个请求的内容根据生成的规则进行检测并对不符合安全规则的作出对应的防御处理，从而保证Web应用的安全性与合法性。

云WAF：

创宇盾：https://defense.yunaq.com/cyd/

玄武盾：https://www.dbappsecurity.com.cn/show-55-64-1.html

阿里云盾：https://security.aliyun.com/

360磐云：https://webscan.360.cn/service/panyun

AWS：https://aws.amazon.com/cn/

硬WAF：

绿盟：https://www.nsfocus.com.cn/

天融信：http://www.topsec.com.cn/

深信服：https://www.sangfor.com.cn/

启明星辰：https://www.venustech.com.cn/

知道创宇：https://www.knownsec.com/#/

安恒：https://www.dbappsecurity.com.cn/

铱迅：https://www.yxlink.com/

软WAF：

D盾：http://www.d99net.net/

云锁：http://www.yunsuo.com.cn/

安全狗：https://www.safedog.cn/

护卫神：https://www.hws.com/

智创：https://www.zcnt.com/

悬镜：https://www.xmirror.cn/

安骑士：https://help.aliyun.com/product/28449.html

UPUPW:https://www.upupw.net/

WTS-WAF:https://www.west.cn/

dotDefender:http://www.applicure.com/Products/

网防：http://www.weishi110.cn/static/index.html

WAF的部署方式：

透明网桥、反向代理、镜像流量、路由代理

常见WAF进程和服务：

安全狗

服务名：SafeDogCloudHelper、SafedogUpdateCenter、SafeDogGuardCenter（服务器安全狗守护中心）

进程名：SafeDogSiteApache.exe、SafeDogSiteIIS.exe、SafeDogTray.exe、SafeDogServerUI.exe、SafeDogGuardCenter.exe、CloudHelper.exe、SafeDogUpdateCenter.exe

护卫神·入侵防护系统

服务名：hws、hwsd、HwsHostEx/HwsHostWebEx（护卫神主机大师服务）

进程名：hws.exe、hwsd.exe、hws_ui.exe、HwsPanel.exe、HwsHostPanel.exe/HwsHostMaster.exe（护卫神主机大师）

D盾

服务名：d_safe

进程名：D_Safe_Manage.exe、d_manage.exe

云锁

服务端监听端口：5555

服务名：YunSuoAgent/JtAgent（云锁Windows平台代理服务）、YunSuoDaemon/JtDaemon（云锁Windows平台守护服务）

进程名：yunsuo_agent_service.exe、yunsuo_agent_daemon.exe、PC.exe

阿里云盾

服务名：Alibaba Security Aegis Detect Service、Alibaba Security Aegis Update Service、AliyunService

进程名：AliYunDun.exe、AliYunDunUpdate.exe、aliyun_assist_service.exe

腾讯云安全

进程名：BaradAgent.exe、sgagent.exe、YDService.exe、YDLive.exe、YDEdr.exe

360主机卫士

服务名：QHWafUpdata

进程名：360WebSafe.exe、QHSrv.exe、QHWebshellGuard.exe

网防G01政府网站综合防护系统（“云锁”升级版）

服务端监听端口：5555

服务名：YunSuoAgent、YunSuoDaemon（不知是否忘了替换了！）

进程名：gov_defence_service.exe、gov_defence_daemon.exe

WAF检测工具：

Wafw00f

工作原理：

发送正常的HTTP请求并分析响应；这确定了许多WAF解决方案。

如果不成功，它将发送许多（可能是恶意的）HTTP请求，并使用简单的逻辑来推断出它是哪个WAF。

如果还是不成功，它将分析先前返回的响应，并使用另一种简单算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击。

利用：python wafw00f.py http://www.xxxx.com/

项目地址：https://github.com/EnableSecurity/wafw00f

sqlmap

工作原理：在sqlmap中检测waf的方式是传入一个网址，获取网址内容与头部信息，然后检测是否存在该waf的特征值，如果存在，就让retval为真并且返回这个值大致检测思路：构造恶意payload -> 检查响应 -> 检查相似度 -> 判断WAF

利用：python sqlmap.py -u “http://www.victim.org/ex.php?id=1” –identify-waf

项目地址：http://sqlmap.org/

nmap

工作原理：与sqlmap类似

利用：

nmap -p 80,443 –script=http-waf-detect 目标主机

nmap -p 80,443 –script=http-waf-fingerprint 目标主机（精度更高）

项目地址：https://nmap.org/

WhatWaf

工作原理：检测Web应用程序上的防火墙，然后尝试在指定目标上检测到该防火墙的旁路（或两个）。

利用：./whatwaf -[u|l|b|g] VALUE|PATH|PATH|PATH [-p|–pl] PAYLOAD,..|PATH [–args]

项目地址：https://github.com/Ekultek/WhatWaf

来源：freebuf.com 2021-07-09 13:40:54 by: CA-沃通WoSign

相关推荐: 内网渗透测试：基于文件传输的 RDP 反向攻击 – 作者:MrAnonymous

往期文章：《内网渗透测试：初探远程桌面的安全问题》《内网渗透测试：桌面劫持实现未授权登录》前言通常认为远程桌面协议是连接远程计算机的安全且值得信赖的应用程序，全球数以千计的 IT 专业人员和安全研究人员都在使用远程桌面协议管理者自己的计算机设备，无论是用于帮助…