Идентификация брандмауэра веб-приложения в сети

Опубликовано: 26 Сентября, 2022

Брандмауэр веб-приложений (WAF) защищает веб-приложения от различных атак на уровне приложений, таких как межсайтовый скриптинг (XSS), SQL-инъекция и отравление файлов cookie. Атаки на приложения являются основной причиной утечек — они являются воротами к вашим ценным данным. Имея правильный WAF, вы можете блокировать множество атак, направленных на кражу этих данных путем компрометации ваших систем.

Таким образом, есть два основных метода идентификации брандмауэра веб-приложения в сети:

Способ 1: ручное обнаружение

Telnet в основном используется сетевыми администраторами и пентестерами. Telnet позволяет подключаться к удаленным хостам через любой порт.

Шаг 1: Telnet Targetwebsite.com 80 (введите эту команду на своем терминале)

┌──(root????DESKTOP-SK08UEQ)-[/home/kali]
└─# telnet testphp.vulnweb.com 80
Trying 44.228.249.3...
Connected to testphp.vulnweb.com.
Escape character is "^]".

Шаг 2: После запуска команды выше напишите HEAD/HTTP/1.1 и нажмите клавишу ввода.

┌──(root????DESKTOP-SK08UEQ)-[/home/kali]
└─# telnet testphp.vulnweb.com 80
Trying 44.228.249.3...
Connected to testphp.vulnweb.com.
Escape character is "^]".
 HEAD / HTTP / 1.1
HTTP/1.1 400 Bad Request
Server: nginx/1.19.0
Date: Tue, 05 Jul 2022 17:20:03 GMT
Content-Type: text/html
Content-Length: 157
Connection: close


<html>
<head><title>400 Bad Request</title></head>
<body>
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/1.19.0</center>
</body>
</html>
Connection closed by foreign host.

Он указывает сервер, на котором размещен веб-сайт, и внутренний язык, на котором он был создан после использования telnet на целевом порту 80.

Метод 2: Автоматическое обнаружение

Шаг 1: Найдите с помощью Wafw00f

ZIP-пакет доступен для загрузки из официального источника GitHub. Загрузите инструмент Wafwoof. Вы также можете использовать клиент git для клонирования репозитория. Чтобы получить пакет, выполните команды:

Шаг 2: git clone https://github.com/EnableSecurity/wafw00f.git (напишите на своем терминале Linux и нажмите Enter)

Шаг 3: установка python setup.py (напишите в терминале Linux и нажмите Enter)

Шаг 4: wafw00f <url> (например, wafw00f http://testphp.vulnweb.com/).

Шаг 5: Чтобы использовать его в подробном режиме, выполните следующую команду.

wafw00f  <url> -v
Picked

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Количество чисел между L и R, взаимно простых с P
27 Февраля, 2023
Постройте матрицу, каждая строка и столбец которой содержат N и M единиц соответственно.
27 Февраля, 2023
Найдите все факторы заданного числа и их побитовое XOR
27 Февраля, 2023
Показать самое длинное имя
27 Февраля, 2023
Форматирование лицензионного ключа
27 Февраля, 2023
Когда я должен использовать список против LinkedList
27 Февраля, 2023
Реализовать быструю сортировку с первым элементом в качестве опорного
27 Февраля, 2023
Алгоритм хеш-сортировки
27 Февраля, 2023