#!/usr/bin/env python
'''
Copyright (C) 2020, WAFW00F Developers.
See the LICENSE file for copying permission.
'''

NAME = 'NetScaler AppFirewall (Citrix Systems)'


def is_waf(self):
    # 定义用于检测是否存在特定 Web 应用防火墙（WAF）的方案列表。
    schemes = [
        # 检查响应头中的'Via'字段是否为'NS-CACHE'，此头可以在非攻击模式下获得。
        self.matchHeader(('Via', r'NS\-CACHE')),
        # 检查是否存在特定格式的 Cookie，这些 Cookie 仅在有人进行身份验证时设置，但由于本工具未进行身份验证，所以不太可靠。
        self.matchCookie(r'^(ns_af=|citrix_ns_id|NSC_)'),
        # 检查响应内容中是否包含'(NS Transaction|AppFW Session) id'。
        self.matchContent(r'(NS Transaction|AppFW Session) id'),
        # 检查响应内容中是否包含'Violation Category. [最多五个任意字符] APPFW_'。
        self.matchContent(r'Violation Category.{0,5}?APPFW_'),
        # 检查响应内容中是否包含'Citrix|NetScaler'。
        self.matchContent(r'Citrix\|NetScaler'),
        # 比较可靠，但并非所有服务器都会返回这个头，且在攻击模式下检查。
        self.matchHeader(('Cneonction', r'^(keep alive|close)'), attack=True),
        self.matchHeader(('nnCoection', r'^(keep alive|close)'), attack=True)
    ]
    # 如果方案列表中的任何一个条件为真，则认为检测到了 WAF。
    if any(i for i in schemes):
        return True
    else:
        return False