参考:https://gitee.com/halftion/identYwaf
介绍
identYwaf 是一种识别工具,可以基于盲推理识别 Web 保护类型(即 WAF)。盲推理是通过检查由一组预定义的攻击性(非破坏性)有效载荷引发的响应来完成的,其中这些有效载荷仅用于触发两者之间的 Web 保护系统(例如)。目前,它支持 80 多种不同的保护产品
WAF 相关识别原理
详情:https://www.slideshare.net/stamparm/blind-waf-identification
- 介绍 waf
- waf 常规特征
- 盲 waf 和不盲 waf 识别方法
大致思路是根据特征识别,payload 查看回显情况等 - 产品分析(sqlmap 自带识别 waf 功能就是依赖这个)
使用
链接:git clone --depth 1 https://github.com/stamparm/identYwaf.git
identYwaf 在任何平台上都可以与从 2.6.x 到 3.x 的任何 Python 版本开箱即用。