GoTestWAF是一款用于API和OWASP攻击模拟的工具,专注于检测率和误报率测试。它支持REST、GraphQL等多种API协议,适用于评估Web应用防火墙等安全解决方案。通过配置文件设置恶意请求,利用多种编码方式和请求位置生成测试用例。该工具可在各种操作系统上运行,提供详细的报告,并可通过Docker或Go环境执行。
1. 关于Gotestwaf
Gotestwaf,全称为Go Test WAF,是一种用于 API 和 OWASP 攻击模拟的工具,可以用于检测率测试(Negative Tests)和误报率(Positive Tests)测试支持广泛的 API 协议,包括 REST、GraphQL、gRPC、WebSockets、SOAP、XMLRPC 等。
用于评估 Web 应用程序安全解决方案,例如 API 安全代理、Web 应用程序防火墙、IPS、API 网关等。
项目地址:https://github.com/wallarm/gotestwaf
2.配置文件说明:
GoTestWAF 使用放置在 HTTP 请求不同部分的编码负载生成恶意请求:其正文、标头、URL 参数等。生成的请求被发送到 被测设备。
默认配置文件放在testcases文件夹里的YAML文件
yml文件示例:
payload:
- "<body οnlοad=alert('test1')>"
- "<b οnmοuseοver=alert('Wufff!')>click me!</b>"
encoder:
- Base64Flat
- URL
placeholder
最低0.47元/天 解锁文章
扫一扫
2289
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
