偵測防火牆這件事，不能到處亂掃

wafw00f

這是一個持續維護中的專案，會定期更新防火牆種類

• 先來講工具-wafw00f

  • wafw00f是一款基於python的防火牆識別工具，可偵測已知的防火牆

  • wafw00f -h #列出所有已知的防火牆

    • 

  • wafw00f google.com

    • 
    • 看起來google.com沒有防火牆

  • wafw00f www.fcu.edu.tw

    • 

其他工具

• 還有什麼工具可以偵測防火牆？
  • wafw00f是利用打request跟回傳的方式區別waf類型，同樣利用nmap也可以偵測防火牆
  • nmap www.fcu.edu.tw --script=http-waf-detect
    • 
    • 可以看到80,443,8443 port有IPS/IDS/WAF防護，但無法確切知道是哪一種防火牆
      • nmap script=http-waf-fingerprint可提供更精確的防火牆名稱與版本，但是不一定每個防火牆都可以抓得到

如果用封包找？

• 除了nmap&wafw00f之外呢？
  • 如果只是想偵測是否有防火牆，可以用簡單的SYN封包跟ACK封包比對
    • PORT根本沒開
      • SYN return None
      • ACK return None
    • 啥都沒擋
      • send SYN
        • 
        • 回傳SA
      • send ACK
        • 
        • 回傳RST
    • 防火牆打開

      • 

        • SYN封包回傳SA
        • ACK封包不會回傳

      • 還有一種是只回傳ACK封包RST封包，SYN封包不會回傳

可以不寫code不用工具嗎

• 尋找原始碼中的WAF fingerprint
  • 在網頁上測試web攻擊
    • ex: input匡中打上alert("XSS");
    • 然後在原始碼裡面找可能的WAF fingerprints
      •