Es factible utilizar una herramienta de nombre “wafw00f”, para conocer la existencia de un firewall para aplicaciones web, entre los clientes o usuarios y el sitio web.

Wafw00f envía peticiones HTTP normales y analiza las respuestas; esto identifica diversas soluciones WAF. Si esto no es exitoso, envía un número de (potencialmente maliciosas) peticiones HTTP, y utiliza lógica simple para deducir si existe un WAF. Si esto tampoco es exitoso, analiza las respuestas previamente devueltas, y utiliza otros algoritmos simples para adivinar si un WAF o una solución de seguridad está activamente respondiendo los ataques.

Al ejecutar la herramienta wafw00f con la opción “-h”, se obtiene un listado de las opciones factibles de ser utilizadas.

# wafw00f

Se utiliza la opción “-v” para generar verbosidad en el proceso de escaneo.

# wafw00f -v scanme.nmap.org

Los resultados obtenidos por wafw00f, indican la no detección de un WAF.

Para el siguiente escenario se utiliza la opción “-vv”, esto genera una mayor verbosidad sobre el proceso de escaneo realizado por wafw00f.

# wafw00f -vv example.com

Los resultados obtenidos por wafw00f, indican el sitio web está detrás de un “Edgecast / Verizon Digital media”

Muchas organizaciones utilizar un Firewall para Aplicaciones Web (WAF), de tal manera protejan los sitios web de ataques específicos. Entender cual dispositivo de seguridad se sitúa entre el usuario y el sitio web en evaluación, es extremadamente importante. Se necesitará ofuscar y evitar la detección. Siendo necesario ser más precisos y utilizar técnicas especiales, para penetrar un sitio web con un WAF en funcionamiento.

Fuentes:

https://github.com/EnableSecurity/wafw00f