9月22日
学习waf原理以及waf的识别方式
waf就是个防火墙,有的网站会有,有的网站没有。以及一个公司内网和外网使用的防火墙可能不一样,我记住的有“安全狗”“绿盟”这两个,其他都没记住,以后遇到慢慢记。
waf的识别技术:
wafw00f识别,win的我装了半天启动不起来,已经装好了,就是无法启动,放弃了。kali里面自带这个工具,很简单,命令就是wafw00f
http://www.***.com。这个可以识别出waf的种类
sqlmap识别,直接在卡里中使用的命令,这个是介意sqlmap强大的功能中的一个小作用,命令是sqlmap -u "
http://www.***.com" --identify-waf、这个只能识别出是否有waf。
识别的意义:如果目标有waf的话不要对其扫描,会被禁ip啥的。
绕过方式有,但是没有通用的工具,我在网上搜sqlmap的使用教程的时候发现了有人说sqlmap可以绕过,具体怎么操作和原理还没看