Web 滲透測試如何判斷防護

web滲透測試判斷是否有防護也就是判斷是否有waf的方法如下：

• 手工檢測：通過構造一些簡單的SQL注入語句并將這些語句直接添加在測試網站的URL后面，如果被攔截則說明存在防護手段，如果通過則說明沒有防護，如果想確定還是多試驗幾個SQL注入語句；

• SQLmap檢測：該工具也是構造SQL注入命令來檢測是否有waf，比手工檢測更準確也更全面同時還可以檢測waf的類型。檢測命令是sqlmap.py -u "http:\\www.xxxxxx.com" --identify-waf --batch;

• WAFW00f檢測：該工具是向網頁發送正常的HTTP請求并將網頁返回的數據進行分析來判斷是否存在waf。如果發送一次請求未收到回復則會發送多個數據包來造成惡意請求通過簡單的邏輯推理出是那種waf，如果上述兩種辦法都不行則會先分析先前返回的數據通過算法來猜測waf類型，這種方法成功率不高。

回答所涉及的環境：聯想天逸510S、Windows 10。