★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与学习之用，读者将信息做其他用途，由Ta承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

1、了解WAF防火墙

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。【摘自百度百科】

相信各位如果有去挖教育SRC或其他平台的SRC，在测试SQL注入时有些网站会提示信息可能会包含：您提交的请求含有不合法的参数，已被本站拦截等。

更多WAF拦截页面，请参阅：
https://www.cnblogs.com/charon1937/p/13799467.html

WAF基于规则的保护和基于异常的保护，因此，WAF防火墙识别对渗透测试有一定帮助，如果是大厂的WAF一般比较难绕过，毕竟属于付费产品。Wafw00f是一款防火墙识别开源工具。

项目地址：https://github.com/EnableSecurity/wafw00f

2、Wafw00f安装和使用

Wafw00f源码克隆到kali系统，Wafw00f是用python语言开发的，需要环境有python再安装使用。

# 克隆源码到kali系统，注意先切换root用户权限
git clone https://github.com/EnableSecurity/wafw00f.git

# 切换到wafw00f
cd wafw00f

# 安装wafw00f,官方提供的命令
python setup.py install

# 我的kali系统不知道什么原因上面命令安装失败，可能有安装python3的原因，使用python3命令安装成功了
python3 setup.py install

# 查看支持测试WAF列表
wafw00f -l

测试命令如下：

wafw00f 域名或ip

有使用WAF示例

没有使用WAF示例图

3、我的公众号

敬请关注我的公众号：大象只为你，持续更新网安相关知识。