Tutoriales

WafW00f: prueba del firewall de la aplicación web

WafW00f es un script de Python muy útil que el firewall de la aplicación web puede detectar (WAF). Esta aparejo es particularmente útil cuando el probador de penetración desea realizar el servidor de aplicaciones web de destino y puede obtener un respaldo con ciertas técnicas de evaluación de vulnerabilidades para las cuales la aplicación web está protegida activamente por un firewall. La detección del firewall entre el servidor de aplicaciones y el tráfico de Internet no solo restablecimiento la táctica de prueba, sino que además presenta al probador de penetración desafíos extraordinarios al desarrollar técnicas de distracción avanzadas.

WafW00f viene preinstalado con Kali Linux. Incluso podemos instalarlo instalar sudo apt-get Mando. Primero, revisemos la sección de ayuda con el posterior comando:

wafw00f -h

Luego, el menú de ayuda aparece frente a nosotros como podemos ver en la posterior captura de pantalla:

opciones de ayuda de wafw00f

Aquí podemos ver que los usos básicos de esta aparejo son muy sencillos. Solo necesitamos nuestra URL de destino para esto. Así que comencemos con eso. Aquí vamos a probar un sitio web de muestra. Entonces usamos el posterior comando para atacar a nuestro objetivo:

wafw00f https://example.com

En la captura de pantalla a continuación, obtuvimos el resultado del comando que estábamos usando.

salida wafw00f

En la captura de pantalla aludido, podemos ver claramente que nuestra página de ejemplo se ejecuta detrás de un WAF (W.eb Asolicitud F.irewall).

El resultado muestra que el servidor de aplicaciones de destino se ejecuta detrás del firewall (por ejemplo, Edgecast, dotDefender). Con esta información, podríamos investigar más a fondo las posibles formas de evitar el WAF. Esto puede incluir técnicas como contaminar los parámetros HTTP, reemplazar bytes nulos, estandarizar y codificar la dependencia URL maliciosa en Hex o Unicode.

Si tenemos una letanía de sitios web en un texto o un archivo CSV o JSON (CSV y JSON requieren un nombre de columna o punto ‘URL’), podemos probarlos todos a la vez usando la posterior comunicación:

wafw00f -i /location/of/file.txt

En la posterior captura de pantalla podemos ver el resultado.

Lista de objetivos para wafw00f

De esta guisa podemos realizar qué firewall se está utilizando en el sitio web o la aplicación web en nuestro sistema Kali Linux.

¿Te encantan nuestros artículos? Siga nuestras instrucciones suelto Suscripción de e-mail para acoger todos nuestros artículos directamente en su bandeja de entrada. Incluso estamos disponibles en Gorjeo y GitHubPublicamos actualizaciones de artículos allí. Para unirse a nuestra tribu, únase a la nuestra Montón de telegramas. Estamos tratando de construir una comunidad para Linux y ciberseguridad. Siempre estamos felices de ayudar a todos en el como sección. Como sabemos, nuestra sección de comentarios siempre está abierta a todos. Leemos todos los comentarios y siempre respondemos.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba