★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与学习之用，读者将信息做其他用途，由Ta承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

1、了解WAF防火墙

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。【摘自百度百科】

相信各位如果有去挖教育SRC或其他平台的SRC，在测试SQL注入时有些网站会提示信息可能会包含：您提交的请求含有不合法的参数，已被本站拦截等。

更多WAF拦截页面，请参阅：
http://www.cnblogs.com/charon1937/p/13799467.html

WAF基于规则的保护和基于异常的保护，因此，WAF防火墙识别对渗透测试有一定帮助，如果是大厂的WAF一般比较难绕过，毕竟属于付费产品。Wafw00f是一款防火墙识别开源工具。

项目地址：http://github.com/EnableSecurity/wafw00f

2、Wafw00f安装和使用

Wafw00f源码克隆到kali系统，Wafw00f是用python语言开发的，需要环境有python再安装使用。

测试命令如下：

有使用WAF示例

没有使用WAF示例图

3、我的公众号