WhatWeb：Web技术栈侦察兵的进阶实战手册

当你面对一个陌生网站时，是否曾好奇它背后运行着哪些技术？传统的Nmap扫描虽然能告诉你服务器开放了哪些端口，但对于现代Web应用的复杂技术栈却往往力不从心。这就是WhatWeb大显身手的地方——它能像侦探一样，从HTTP响应头、HTML特征、JavaScript指纹等数十个维度，精准识别出目标网站使用的CMS、框架、服务器甚至前端库。

1. 为什么安全工程师需要WhatWeb

在红队演练或漏洞赏金任务中，识别目标技术栈是成功的第一步。知道对方使用WordPress还是Drupal，运行在Nginx还是IIS上，前端用了Vue还是React，这些信息直接影响后续的攻击路径规划。WhatWeb的独特价值在于：

• 深度指纹库 ：内置超过1800个插件，覆盖从Apache到Zoomla的各类Web技术
• 被动式探测 ：默认级别(stealthy)仅发送1次请求，几乎不产生日志报警
• 可扩展性 ：支持Ruby编写自定义检测规则，适应内部系统指纹识别

对比传统工具：

工具	技术栈识别	请求数量	输出格式	学习曲线
Nmap	有限	多	文本	低
Wappalyzer	中等	少	GUI	低
WhatWeb	全面	可调	多格式	中

提示：在防守方视角，定期用WhatWeb扫描自己的资产，能发现意外暴露的测试环境或老旧系统

2. 从安装到实战：高效工作流搭建

Kali用户可以直接使用预装的WhatWeb，其他Linux系统通过以下命令安装：

sudo apt update && sudo apt install whatweb

基础扫描命令看似简单，但隐藏着实用技巧：

# 基本扫描（适合快速侦察）
whatweb example.com

# 详细模式（显示匹配的插件和置信度）
whatweb -v example.com

# 批量扫描（将目标列表保存在targets.txt）
whatweb -i targets.txt

扫描强度选择策略 ：

1. stealthy(1) ：合规审计时使用，每个目标仅1次请求
2. aggressive(3) ：漏洞评估推荐，平衡深度与隐蔽性
3. heavy(4) ：仅在内网测试使用，会触发WAF报警

实战案例：发现某子域使用过期的Drupal版本

whatweb -a3 sub.example.com | grep Drupal

输出示例：

Drupal[7.54,7.58](https://www.drupal.org/), PHP[5.6.40], Apache[2.4.29]

3. 企业级场景下的高阶用法

在内网资产梳理中，结合CIDR notation可以快速绘制技术地图：

whatweb --no-errors 192.168.1.0/24 --log-json=scan_results.json

关键参数解析：

• --no-errors ：忽略无法连接的主机
• -t 50 ：设置50线程加速扫描
• --log-json ：结构化输出便于后续处理

处理扫描结果的Python示例：

import json

with open('scan_results.json') as f:
    data = json.load(f)

tech_count = {}
for result in data:
    for plugin in result['plugins']:
        name = plugin['name']
        tech_count[name] = tech_count.get(name, 0) + 1

print("技术栈分布:", sorted(tech_count.items(), key=lambda x: -x[1]))

4. 插件开发与定制化检测

查看内置插件列表：

whatweb -l | grep WordPress  # 查找WordPress相关检测规则

开发自定义插件的Ruby模板：

Plugin.define "CustomTech" do
    author "YourName"
    version "0.1"
    
    matches [
        { :regexp => /<meta name="generator" content="OurProprietaryCMS/i },
        { :text => 'powered-by-custom-tech' }
    ]
end

将插件保存到 ~/.whatweb/plugins/ 即可加载使用。我曾用这个方法成功识别了某金融系统的内部框架，其特点是：

• 响应头包含 X-Powered-By: FinCore/2.3
• 登录页面有 /finauth 路径
• 静态资源使用特定的哈希命名规则

5. 规避检测与防御策略

作为防御方，可以采取这些措施增加识别难度：

1. 修改默认特征 ：

   • 删除CMS生成器标签
   • 重命名JS/CSS路径

2. 干扰技术 ：

   # 随机化Server头
   more_set_headers 'Server: Unknown';
   

3. 动态响应 ：

   • 对扫描工具返回虚假信息
   • 限制高频探测的IP

但要注意，过度隐蔽可能影响正常业务功能。某电商网站曾因移除所有框架特征导致CDN无法正确缓存静态资源。

6. 与其他工具的协同作战

WhatWeb最适合作为侦察阶段的先头部队，其输出可以传递给其他工具：

# 识别WordPress站点后调用wpscan
whatweb -i targets.txt | grep WordPress | awk '{print $1}' > wp_sites.txt
wpscan --url-list wp_sites.txt

在漏洞赏金平台HackerOne上，约67%的有效报告始于准确的技术栈识别。有经验的测试者会建立这样的工作流：

1. WhatWeb快速筛选有价值目标
2. Nuclei进行通用漏洞检测
3. 针对特定框架使用专项工具
4. 人工验证关键发现

记得某次渗透测试中，通过WhatWeb发现目标使用罕见的CMS，在GitHub找到其历史漏洞后，成功构造出RCE利用链。这种精准打击远比盲目扫描高效得多。