freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

WAF-bypass:一款功能强大的Web应用防火墙安全测试工具
2023-04-08 10:14:45
所属地 广西

关于WAF-bypass

WAF-bypass是一款功能强大的Web应用防火墙安全测试工具,该工具基于Python开发,并且完全开源。在该工具的帮助下,广大研究人员可以使用预定义和可定制的Payload来分析任何Web应用防火墙的安全性,并在资产被攻击之前提升系统防火墙的安全性能。

工具Payload

广大研究人员可以根据测试需求来选择对应的Payload:

FP - 假阳性Payload

API - API测试Payload

CM - 自定义HTTP 方法Payload

GraphQL - GraphQL测试Payload

LDAP - LDAP注入Payload

LFI - 本地文件包行Payload

MFD - multipart/form-data Payload

NoSQLi - NoSQL注入Payload

OR - 开放重定向Payload

RCE - 远程代码执行Payload

RFI - 远程文件包含Payload

SQLi - SQL注入Payload

SSI - 服务器端包含Payload

SSRF - 服务器端请求伪造Payload

SSTI - 服务器端模版注入Payload

UWA - 无用访问Payload

XSS - 跨站脚本Payload

工具下载&安装

本地安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/nemesida-waf/waf_bypass.git /opt/waf-bypass/

然后使用pip3命令和项目提供的requirements.txt安装该工具所需的依赖组件:

python3 -m pip install -r /opt/waf-bypass/requirements.txt

Docker安装

最新版本的WAF-bypass已经托管到了DockerHub上,我们也可以直接使用下列命令来拉取该工具的Docker镜像:

docker pull nemesida/waf-bypass

工具选项

'--proxy' (--proxy='http://proxy.example.com:3128') - 指定需要连接的代理主机;

'--header' (--header 'Authorization: Basic YWRtaW46YWRtaW4=' --header 'X-TOKEN: ABCDEF') - 指定所有请求发送时使用的HTTP Header,支持使用多个;

'--user-agent' (--user-agent 'MyUserAgent 1/1') - 指定发送所有请求时使用的HTTP User-Agent,当Payload设置了User-Agent时此选项失效;

'--block-code' (--block-code='403' --block-code='222') - 指定HTTP状态码,默认为403;

'--threads' (--threads=15) - 指定并行扫描线程数量,默认为10;

'--timeout' (--timeout=10) - 指定请求处理超时,默认为30(秒);

'--json-format' - 设置将扫描结果存储为JSON格式文件;

'--details' - 显示假阳性和假阴性Payload,不支持JSON格式;

'--exclude-dir' - 排除Payload的目录,支持排除多个,例如--exclude-dir='SQLi' --exclude-dir='XSS';

工具使用

本地使用

python3 /opt/waf-bypass/main.py --host='example.com'  

Docker使用

docker run nemesida/waf-bypass --host='example.com'

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

WAF-bypass:【GitHub传送门

参考资料

https://hub.docker.com/r/nemesida/waf-bypass

# waf # waf绕过 # web应用防火墙 # 防火墙 # WAF研究
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录