以下内容部分参考网上的文章整理的笔记。如有侵权请联系删除。

Web应用程序防火墙指纹识别工具

下载安装

https://github.com/EnableSecurity/wafw00f

使用文档

https://github.com/enablesecurity/wafw00f/wiki

安装环境

python3

pip install wafw00f 

使用

cd C:\Python39\Lib\site-packages\wafw00f-2.1.0-py3.9.egg\wafw00f

python main.py

python main.py -l //查看WAF类型

python main.py www.baidu.com //扫百度的WAF

网站后台爆破工具

下载安装

项目拉取

git clone https://github.com/yzddmr6/WebCrack

安装所需依赖

pip3 install -r requirements.txt

使用

>python webcrack.py 
*****************************************************
*　　　　　　　　　　　　　　　　　　　　　　 　    * 
****************    Code By yzddMr6   ***************
*　　　　　　　　　　　　　　　　　　　　　　 　    *
*****************************************************
File or Url:

自定义配置

在cms.json里面可以进行自定义配置

爆破原理

webcrack的爆破原理自动分析找到爆破点、带入字典进行匹配、判断是否成功。

动态字典

根据域名自动生成动态字典列表

如果输入的是一个IP，则返回一个空列表。

万能密码

除了弱口令以外，还可能存在万能密码的漏洞，WebCrack中添加了一些常用的payload用来检测是否存在万能密码的漏洞。（缺陷：可能会被WAF拦截）

验证码

后台有验证码解决方案