记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

常见WAF进程服务与WAF识别总结

2020-11-20 09:48

常见WAF进程服务与WAF识别总结-极度安全

常见WAF进程和服务

(1) D盾
服务名:d_safe
进程名:D_Safe_Manage.exe、d_manage.exe

(2) 云锁
服务端监听端口:5555
服务名:YunSuoAgent/JtAgent(云锁Windows平台代理服务)、YunSuoDaemon/JtDaemon(云锁Windows平台守护服务)
进程名:yunsuo_agent_service.exe、yunsuo_agent_daemon.exe、PC.exe

(3) 阿里云盾
服务名:Alibaba Security Aegis Detect Service、Alibaba Security Aegis Update Service、AliyunService
进程名:AliYunDun.exe、AliYunDunUpdate.exe、aliyun_assist_service.exe

(4) 腾讯云安全
进程名:BaradAgent.exe、sgagent.exe、YDService.exe、YDLive.exe、YDEdr.exe

(5) 360主机卫士
服务名:QHWafUpdata
进程名:360WebSafe.exe、QHSrv.exe、QHWebshellGuard.exe

(6) 网站/服务器安全狗
服务名:SafeDogCloudHelper、Safedog Update Center、SafeDogGuardCenter(服务器安全狗守护中心)
进程名:SafeDogSiteApache.exe、SafeDogSiteIIS.exe、SafeDogTray.exe、SafeDogServerUI.exe、SafeDogGuardCenter.exe、CloudHelper.exe、SafeDogUpdateCenter.exe

(7) 护卫神·入侵防护系统
服务名:hws、hwsd、HwsHostEx/HwsHostWebEx(护卫神主机大师服务)
进程名:hws.exe、hwsd.exe、hws_ui.exe、HwsPanel.exe、HwsHostPanel.exe/HwsHostMaster.exe(护卫神主机大师)

(8) 网防G01政府网站综合防护系统(“云锁”升级版)
服务端监听端口:5555
服务名:YunSuoAgent、YunSuoDaemon(不知是否忘了替换了!)
进程名:gov_defence_service.exe、gov_defence_daemon.exe

WAF识别工具

(1) wafw00f/WhatWaf

利用wafw00f识别WAF,可以在WAF指纹目录下自行编写脚本。这类WAF识别工具的原理基本都是根据HTTP头部信息、状态码以及WAF拦截页中的图片、文字做为特征来进行检测,如wafw00f工具中的yunsuo.py脚本就是根据cookie中的security_session_verify来检测的。

  • /usr/lib/python3/dist-packages/wafw00f/plugins
  1. #!/usr/bin/env python
  2. NAME = 'Yunsuo'
  3. def is_waf(self):
  4.     if self.matchcookie('^security_session_verify'):
  5.         return True
  6.     return False

(2) sqlmap -identify-waf

利用sqlmap -identify-waf参数识别WAF,一样可以在WAF指纹目录下根据原有脚本和Awesome-WAF项目自行编写WAF指纹识别脚本,但有时可能会因为sqlmap新老版本的原因而导致存放路径不一样。

  • 更新前:/usr/share/sqlmap/waf
  • 更新后:/usr/share/golismero/tools/sqlmap/waf
  1. #!/usr/bin/env python
  2. """
  3. Copyright (c) 2006-2013 sqlmap developers (http://sqlmap.org/)
  4. See the file 'doc/COPYING' for copying permission
  5. """
  6. import re
  7. from lib.core.enums import HTTP_HEADER
  8. from lib.core.settings import WAF_ATTACK_VECTORS
  9. __product__ = "ModSecurity: Open Source Web Application Firewall (Trustwave)"
  10. def detect(get_page):
  11.     retval = False
  12.     for vector in WAF_ATTACK_VECTORS:
  13.         page, headers, code = get_page(get=vector)
  14.         retval = code == 501 and re.search(r"Reference #[0-9A-Fa-f.]+", page, re.I) is None
  15.         retval |= re.search(r"Mod_Security|NOYB", headers.get(HTTP_HEADER.SERVER, ""), re.I) is not None
  16.         if retval:
  17.             break
  18.     return retval

(3)项目地址

  • https://github.com/sqlmapproject/sqlmap
  • https://github.com/EnableSecurity/wafw00f
  • https://github.com/Ekultek/WhatWaf
  • https://github.com/0xInfection/Awesome-WAF

知识来源: https://www.secvery.com/3968.html

阅读:298657 | 评论:0 | 标签:WAF

想收藏或者和大家分享这篇好文章→复制链接地址

“常见WAF进程服务与WAF识别总结”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁