1. 关于Gotestwaf
Gotestwaf,全称为Go Test WAF,是一种用于 API 和 OWASP 攻击模拟的工具,可以用于检测率测试(Negative Tests)和误报率(Positive Tests)测试支持广泛的 API 协议,包括 REST、GraphQL、gRPC、WebSockets、SOAP、XMLRPC 等。
用于评估 Web 应用程序安全解决方案,例如 API 安全代理、Web 应用程序防火墙、IPS、API 网关等。
项目地址:https://github.com/wallarm/gotestwaf
2.配置文件说明:
GoTestWAF 使用放置在 HTTP 请求不同部分的编码负载生成恶意请求:其正文、标头、URL 参数等。生成的请求被发送到 被测设备。
默认配置文件放在testcases文件夹里的YAML文件
yml文件示例:
payload:
- "<body οnlοad=alert('test1')>"
- "<b οnmοuseοver=alert('Wufff!')>click me!</b>"
encoder:
- Base64Flat
- URL