51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1161|回复: 0
打印 上一主题 下一主题

推荐一款Web应用防火墙安全测试工具WAF-bypass

[复制链接]
  • TA的每日心情
    无聊
    5 天前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2023-4-20 13:23:02 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    关于WAF-bypass
      WAF-bypass是一款功能强大的Web应用防火墙安全测试工具,该工具基于Python开发,并且完全开源。在该工具的帮助下,广大研究人员可以使用预定义和可定制的Payload来分析任何Web应用防火墙的安全性,并在资产被攻击之前提升系统防火墙的安全性能。
      工具Payload
      广大研究人员可以根据测试需求来选择对应的Payload:
      FP - 假阳性Payload
      API - API测试Payload
      CM - 自定义HTTP 方法Payload
      GraphQL - GraphQL测试Payload
      LDAP - LDAP注入Payload
      LFI - 本地文件包行Payload
      MFD - multipart/form-data Payload
      NoSQLi - NoSQL注入Payload
      OR - 开放重定向Payload
      RCE - 远程代码执行Payload
      RFI - 远程文件包含Payload
      SQLi - [url=]SQL[/url]注入Payload
      SSI - 服务器端包含Payload
      SSRF - 服务器端请求伪造Payload
      SSTI - 服务器端模版注入Payload
      UWA - 无用访问Payload
      XSS - 跨站脚本Payload


      工具下载&安装
      本地安装
      由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
      git clone https://github.com/nemesida-waf/waf_bypass.git /opt/waf-bypass/

      然后使用pip3命令和项目提供的requirements.txt安装该工具所需的依赖组件:
      python3 -m pip install -r /opt/waf-bypass/requirements.txt

      Docker安装
      最新版本的WAF-bypass已经托管到了DockerHub上,我们也可以直接使用下列命令来拉取该工具的Docker镜像:
      docker pull nemesida/waf-bypass

      工具选项
      '--proxy' (--proxy='http://proxy.example.com:3128') - 指定需要连接的代理主机;
      '--header' (--header 'Authorization: Basic YWRtaW46YWRtaW4=' --header 'X-TOKEN: ABCDEF') - 指定所有请求发送时使用的HTTP Header,支持使用多个;
      '--user-agent' (--user-agent 'MyUserAgent 1/1') - 指定发送所有请求时使用的HTTP User-Agent,当Payload设置了User-Agent时此选项失效;
      '--block-code' (--block-code='403' --block-code='222') - 指定HTTP状态码,默认为403;
      '--threads' (--threads=15) - 指定并行扫描线程数量,默认为10;
      '--timeout' (--timeout=10) - 指定请求处理超时,默认为30(秒);
      '--json-format' - 设置将扫描结果存储为JSON格式文件;
      '--details' - 显示假阳性和假阴性Payload,不支持JSON格式;
      '--exclude-dir' - 排除Payload的目录,支持排除多个,例如--exclude-dir='SQLi' --exclude-dir='XSS';


      工具使用
      本地使用
      python3 /opt/waf-bypass/main.py --host='example.com'  

      Docker使用
      docker run nemesida/waf-bypass --host='example.com'

      工具运行截图

      许可证协议
      本项目的开发与发布遵循MIT开源许可证协议。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-26 04:58 , Processed in 0.061857 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表