安基网 首页 安全 Web安全 查看内容

Esn黑客初学者入门第九步:新手识别web程序防火墙步骤

2020-7-23 11:22| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 在Web应用程序中起到了将低于管理员技术之人的攻击抵挡在了门外,从而可以让自己的web程序更加安全。但是攻防中“道高一丈魔高一丈”。但是作为初学者;发现对方防火墙最简单的方式就是利用工具:如:Nmap或者是WaFwoog等优秀工具。

文章首发地址:订阅号:Esn技术社区

原文地址:https://mp.weixin.qq.com/s/3zyPXNtyixzM8yfHcFqwow

正文:


Web应用程序防火墙:在Web应用程序中起到了将低于管理员技术之人的攻击抵挡在了门外,从而可以让自己的web程序更加安全。但是攻防中“道高一丈魔高一丈”。但是作为初学者;发现对方防火墙最简单的方式就是利用工具:如:Nmap或者是WaFwoog等优秀工具。


WaFwoog:Kali linux 中内置的一个优秀的工具,使用的是(蟒蛇 Python)设计的程序,获取原理:内置一系列提前设计好的Web相应请求,可以探测到所有基础的防火墙信息。(来之官网的介绍)


WaFwoog:历史列表如下


全文预览公众号:Esn技术社区


全文预览公众号:Esn技术社区


Nmap:已安装和使用,并且预装了脚本,这些脚本对于了解目标背后的WAF很有用。Nmap提供的两个脚本类似于Wafw00f,分为两个:一个用于检测,另一个用于对WAF进行指纹识别。这些脚本是足够的,但并不总是像Wafw00f一样准确或能够检测WAF。所以在防火墙识别上还是有一些微不足道的缺陷。(来之官网的介绍)


缺点,Nmap扫描WAF的好处是可以轻松地将其包含在正在执行的其他扫描中以建立目标表面,从而使我们更容易使用其常规侦察例程编写这种检测脚本。越来越多的工具使用带有WAF检测功能的Nmap扫描,以一种快速简便的方法在模块中提供WAF检测功能,以提供更强大的工具。 (来之官网的介绍)


运营所需要支持的设备:Linux发行版 Kali linux Ubuntu Linux Miht Windows排除在外。因为nmap在Windows系统上发不能发挥全部的实力。并且提前在你的设备上安装Python3 的依赖项。


Kali linux操作系统


Kali linux:Wafw00f 已经提前加载在进了系统内,如需使用可以在下图打开。


wafw00f -h :用于查看帮助菜单;如果你是直接使用命令行的话进入程序的话是需要用到“-h”命令。如果你是从界面鼠标选择图1方式进入的,终端内提示的就是帮助菜单。



实例测试:我们用wafw00f 来扫描下我们强大的百度,(别想扫描出东西,因为百度的安全最做的真的很安全,)


上图并没有对新手来说有用的东西,唯一有用的就是wafw00f 如何执行站点扫描功能,当然作为初学者第一步必然是要清楚“步骤”的使用。


知识点:关于帮助菜单页大家有必须去了解清楚,不行就使用翻译,要清楚每个命令的作用扫描什么,.因为防火墙这一块在渗透中的确很重要的。


Nmap:预装在Kali Linux上,它包含尝试进行相同检测的脚本。我们将尝试两种不同的脚本:http-waf-fingerprint和http-waf-detect。尽管两个脚本的要点相似,但是它们的工作方式略有不同,并且可以有效地应对不同的目标。


脚本:http-waf-detect

root@kali:~# nmap -p 80,443 --script=http-waf-detect baidu.com



扫描结果:别想着扫描出什么能用的信息,毕竟文章是针对初学者进行步骤尝试,如果可以清楚的扫描出,某度现在也不会能安全到现在。


脚本:http-waf-fingerprint

root@kali:~# nmap -p 80,443 --script=http-waf-fingerprint qq.com


扫描结果:别想着扫描出什么能用的信息,毕竟文章是针对初学者进行步骤尝试,如果可以清楚的扫描出,腾讯现在也不会能安全到现在。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6851564129191526924/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部