You can not select more than 25 topics
Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
|
|
|
|
|
#!/usr/bin/env python
|
|
|
|
|
|
'''
|
|
|
|
|
|
Copyright (C) 2020, WAFW00F Developers.
|
|
|
|
|
|
See the LICENSE file for copying permission.
|
|
|
|
|
|
'''
|
|
|
|
|
|
|
|
|
|
|
|
NAME = 'NetScaler AppFirewall (Citrix Systems)'
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
def is_waf(self):
|
|
|
|
|
|
# 定义用于检测是否存在特定 Web 应用防火墙(WAF)的方案列表。
|
|
|
|
|
|
schemes = [
|
|
|
|
|
|
# 检查响应头中的'Via'字段是否为'NS-CACHE',此头可以在非攻击模式下获得。
|
|
|
|
|
|
self.matchHeader(('Via', r'NS\-CACHE')),
|
|
|
|
|
|
# 检查是否存在特定格式的 Cookie,这些 Cookie 仅在有人进行身份验证时设置,但由于本工具未进行身份验证,所以不太可靠。
|
|
|
|
|
|
self.matchCookie(r'^(ns_af=|citrix_ns_id|NSC_)'),
|
|
|
|
|
|
# 检查响应内容中是否包含'(NS Transaction|AppFW Session) id'。
|
|
|
|
|
|
self.matchContent(r'(NS Transaction|AppFW Session) id'),
|
|
|
|
|
|
# 检查响应内容中是否包含'Violation Category. [最多五个任意字符] APPFW_'。
|
|
|
|
|
|
self.matchContent(r'Violation Category.{0,5}?APPFW_'),
|
|
|
|
|
|
# 检查响应内容中是否包含'Citrix|NetScaler'。
|
|
|
|
|
|
self.matchContent(r'Citrix\|NetScaler'),
|
|
|
|
|
|
# 比较可靠,但并非所有服务器都会返回这个头,且在攻击模式下检查。
|
|
|
|
|
|
self.matchHeader(('Cneonction', r'^(keep alive|close)'), attack=True),
|
|
|
|
|
|
self.matchHeader(('nnCoection', r'^(keep alive|close)'), attack=True)
|
|
|
|
|
|
]
|
|
|
|
|
|
# 如果方案列表中的任何一个条件为真,则认为检测到了 WAF。
|
|
|
|
|
|
if any(i for i in schemes):
|
|
|
|
|
|
return True
|
|
|
|
|
|
else:
|
|
|
|
|
|
return False
|
