WAF指纹探测及识别技术

Web应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。本文 介绍了常见的WAF指纹识别的一些技术，详见如下：

WAF指纹

Cookie值

Citrix Netscaler

“Citrix Netscaler”会在HTTP返回头部Cookie位置加入“ns_af”的值，可以以此判断为Citrix Netscaler的WAF，国内此类WAF很少（这货居然是searchsecurity认定的2013最好的防火墙）。

一个恶意的请求示例：

F5 BIG IP ASM

HTTP响应

Mod_Security

Mod_Security是为Apache设计的开源Web防护模块，一个恶意的请求Mod_Security会在响应头返回“406 Not acceptable”的信息。

WebKnight

WebKnight是用来设计在IIS下面使用的WAF设备，较为常见。WebKnight会对恶意的请求返回“999 No Hacking”的信息。

F5 BIG IP

F5 BIG IP会对恶意请求返回“419 Unknown”的信息，如下：

dotDefender

dotDefender用来防护.net的程序，也比较出名，会对恶意请求返回“dotDefender Blocked Your Request”的信息。

请求：

响应：

特定资源文件

部分特定WAF在返回的告警页面含特定的CSS或者JS文件，可以作为判断的依据，这类情况在WAF类里比较少，实际也可以归并到HTTP响应中。

看2个样例：

WAF识别工具

一些WAF可以自定义返回的消息内容，或者全部返回自定义的404页面或200页面，有一些工具会协助作为WAF设备的识别。

Wafw00f

用python编写的一个小工具，开源地址：

http://code.google.com/p/waffit/source/browse/trunk/wafw00f.py

Wafw00f用来判断WAF设备的函数如下：

使用“python wafw00f.py -h”可以查看工具的使用方法，运行示例：

基于Cookie的检测

Wafw00f的探测大部分是基于Cookie的检测。

F5asm 的检测规则如下：

基于响应头的检测

Profense在响应头会包含’server’,’profense’的信息。

sqlmap

Sqlmap是一款检测和利用SQLi漏洞工具，也是基于python编写，业内认同率较高，sqlmap用来探测WAF类型想比较Wafw00f来说还多一些。

参考：

Sqlmap用来探测每种WAF设备都是一个python文件，同样是从cookie信息或者返回头信息进行判断。

以Mod_Security为例

Sqlmap用来探测WAF的命令如下：

貌似必须是或自己修改的类似动态参数才能使用。

xenoitx

检测和利用XSS漏洞的神器，WAF检测也是其中的功能之一。

[via@ freebuf ]