ツールの勉強 -wafw00f-
はじめに
ペネトレーションテストを行う際に使うWAFの有無及びWAFの種類を確認するツールである「wafw00f」について簡単に仕組みを調べてみた。
ツールの使い方
簡単なので開発者のページを見てください。
GitHub:EnableSecurity/wafw00f
Reconnaissance, Identification & Fingerprinting of Web Application Firewall using WAFW00F
WAF有無のチェック実行
root@kali:~# wafw00f https://www.strikewitches.net/
パケットの中身
root@kali:~# wafw00f https://www.strikewitches.net/
基本的にURLに普通はWAFで引っかかるであろう文字列を付与し、リクエストを送っている。
その応答のヘッダ等を見ているようだ。
また、リクエストヘッダをいじってリクエストを送っているものもある。
ツールの仕組み(WAF有無判断部分)
githubに公開されているソースコードのpluginsディレクトリ配下に、それぞれのWAFに対応する判断ロジックが記述されている。
Author And Source
この問題について(ツールの勉強 -wafw00f-), 我々は、より多くの情報をここで見つけました https://qiita.com/sanyamarseille/items/f82c7dc3794884e0e6c6著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .