Wafw00f aracını kullanarak hedef sistemde Waf (Web Application Firewall) tespiti

Bir sisteme saldırmadan önce (güvenlik testi diyelim 🙂 ) hedefin önünde ne çeşit bir firewall olduğunu bilmek işimizi kolaylaştıracaktır ki buna göre yöntemler ile içeriye girmeye çalışalım ya da hiç arkamıza bakmadan kaçalım. Bu tespiti kolaylaştırmak için Wafw00f isimli bir araç var ve bu araç Kali Linux içinde öntanımlı olarak kurulu geliyor , Diğer distro lara da ayrıca kurabilirsiniz. Açık kaynak kodlu bir uygulamadır ve kodları incelemek ister iseniz https://github.com/sandrogauci/wafw00f adresini de ziyaret edebilirsiniz.

Peki wafw00f aslında ne yapıyor. Önce normal http istekleri gönderiyor , analiz ediyor , sonra sıradışı tabir edebileceğimiz örneğin bilindik injection metodları gibi anormal istekler göndererek yine cevapları analiz ediyor , eğer önde bilindik bir waf var ise gelen cevap içinde bunun imzasına bakıyor ve aşağıdaki cihazları tanıyabiliyor.

Applicure dotDefender
Art of Defence HyperGuard
Aqtronix WebKnight
Barracuda Aplication Firewall
BinarySec
Cisco ACE XML Gateway
Citrix NetScaler
CloudFlare
DenyALL WAF
eEye Digital Security - SecureIIS
F5 FirePass
F5 TrafficShield
F5 BIG-IP (LTM, APM, ASM)
IBM Web Application Security
IBM DataPower
Imperva SecureSphere
InfoGuard Airlock
Incapsula WAF
Juniper WebApp Secure
Microsoft ISA Server
Microsoft UrlScan
NetContinuum
Profense
TrustWave ModSecurity
Teros WAF
USP Secure Entry Server

Kullanımı oldukça basit, aşağıdaki örnekleri inceleyebiliriz.

Önce ayhanarda.com u test edelim

root@ayhanarda.com:~# wafw00f ayhanarda.com

                                 ^     ^
        _   __  _   ____ _   __  _    _   ____
       ///7/ /.' \ / __////7/ /,' \ ,' \ / __/
      | V V // o // _/ | V V // 0 // 0 // _/  
      |_n_,'/_n_//_/   |_n_,' \_,' \_,'/_/    
                                <   
                                 ...'
 
    WAFW00F - Web Application Firewall Detection Tool
 
    By Sandro Gauci && Wendel G. Henrique
 
Checking http://ayhanarda.com
Generic Detection results:
The site http://ayhanarda.com seems to be behind a WAF 
Reason: The server returned a different response code when a string trigged the blacklist.
Normal response code is "404", while the response code to an attack is "406"
Number of requests: 11

Yukarıdaki analizde diyor ki , ne çeşit bir firewall olduğunu analiz edemedim ama 11. gönderdiğim istekte aldığım yanıt değişti bu da demek oluyor ki bir güvenlik koruması altında ama ne olduğunu bilemedim , şimdi farklı bir örneğe bakalım.

root@ayhanarda.com:~# wafw00f hostgator.com

                                 ^     ^
        _   __  _   ____ _   __  _    _   ____
       ///7/ /.' \ / __////7/ /,' \ ,' \ / __/
      | V V // o // _/ | V V // 0 // 0 // _/  
      |_n_,'/_n_//_/   |_n_,' \_,' \_,'/_/    
                                <   
                                 ...'
 
    WAFW00F - Web Application Firewall Detection Tool
 
    By Sandro Gauci && Wendel G. Henrique
 
Checking http://hostgator.com
The site http://hostgator.com is behind a Imperva
Number of requests: 9

Yukarıdaki örneğe bakacak olursak 6. istekte cihazı tanımlamış ve hostgator.com un Imperva isimli bir web application firewall arkasında olduğunu belirtmiş.

Örnekleri çoğaltabilirsiniz , mesela amazon.com a bakar iseniz Citrix Netscaler arkasında olduğunu görebilirsiniz.

Ayhan ARDA

Share Button
One Comment

    Malicious IP

    Teşekkürler , çok başarılı bir anlatım olmuş.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*