WAF-A-MoLE:智能Web应用防火墙模糊测试利器

于 2024-06-11 09:32:33 发布
阅读量357 收藏 9
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00028/article/details/139587612
版权

WAF-A-MoLE:智能Web应用防火墙模糊测试利器

1、项目介绍

WAF-A-MoLE是一个灵感源于AFL并基于FuzzingBook的指导性变异模糊测试工具,专门针对机器学习(ML)驱动的Web应用防火墙。它能帮助你评估你的产品安全性,通过探索解决方案空间来找出目标分类器未覆盖的危险“盲点”。

2、项目技术分析

WAF-A-MoLE的核心架构包括一个payload Pool和一个Fuzzer。Payload Pool管理一个按WAF信任分数排序的队列,Fuzzer会对队首的payload进行随机变异,利用一组语义保留的变异操作符

变异操作符

目前版本提供了以下7种变异操作:

  • 案例转换
  • 空格替换
  • 注释注入
  • 注释重写
  • 整数编码
  • 运算符交换
  • 逻辑不变量
  • 数字洗牌

3、项目及技术应用场景

  • 安全测试:用于测试你的Web应用防火墙,寻找可能的安全漏洞。
  • 机器学习模型强化:通过WAF-A-MoLE产生的查询,可以对你的WAF模型进行再训练,提高其抗攻击能力。
  • 学术研究:在安全领域,特别是对抗性机器学习的研究中,这是一个很好的实验平台。

4、项目特点

  • 语义保留变异:所有的变异操作都确保了SQL语句的基本含义得以保留。
  • 灵活适应性强:支持多种数据库语言,如MySQL,并可扩展到其他SQL方言。
  • 自动化测试:提供命令行接口,只需几条命令即可启动对自定义或预训练模型的测试。
  • 文档完整:详尽的文档指导用户快速上手和深入研究。
  • 开源社区支持:遵循MIT许可证,用户可以自由地使用、修改和分享代码。

要开始使用WAF-A-MoLE,请确保安装了所有必要的依赖项,并按照提供的样例命令进行操作。如果你是机器学习或Web安全领域的开发者,这款工具将是你不可或缺的安全评估助手。让我们一起挖掘潜在的安全隐患,提升系统防护能力吧!

孟振优Harvester
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
WAF检测率及误报测试工具Gotestwaf
colgcolg的博客
01-02 1万+
WAF检测率 误报率测试工具
WAF-A-MoLE:基于ML的Web应用程序防火墙的基于变异的引导模糊
05-08
WAF-A-MoLE 受AFL启发并基于Andreas Zeller等人的 ,针对基于ML的Web应用程序防火墙的基于突变的引导。 给定一个输入SQL注入查询,它会尝试生成一个语义不变的查询,该查询能够绕过目标WAF。 您可以使用此工具通过...
WAF检测工具--WAFW00F
weixin_43047908的博客
06-23 3976
WAFW00F是一个Web应用防火墙WAF)指纹识别的工具。 WAFW00F工作原理 1、首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符 2、如果不成功,它将发送大量(潜在的恶意) HTTP 请求,并使用简单的逻辑推断出它是哪个WAF 3、如果这也不成功,它将分析以前返回的响应,并使用另一个简单的算法来猜测 WAF 或安全解决方案是否正在积极响应我们的攻击. 下载地址:https://github.com/EnableSecurity/wafw00f 将文件下载解压下来后,进入wafw
X-WAF简单测试体验
08-27 2531
 X-WAF 最近才关注到的一款云WAF,花了一些时间搭建了一个环境,并做了一些测试,感觉比较适合新手来练习WAF Bypass。 X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 官网:https://waf.xsec.io/ 源码:https://github.com/xsec-lab 安装部署 系统版本:Centos6.5 x86...
彩虹战队waf测试工具测试数据)
cnmeimei的博客
08-22 964
安全狗 D盾 云锁 360主机卫士 奇安信 绿盟 腾讯云 百度云 阿里云 小米斗鱼 启明星辰/天融信 深信服 华为 知道创宇 长亭 360天眼
kaliWAF检测工具
Snowdeng的博客
09-18 455
1、WAF检测工具 github地址:https://code.google.com/p/waffit/source/checkout 使用教程:wafw00f www.baidu.com 2、负载均衡检测工具 github地址:https://github.com/craig/ge.mine.nu/tree/master/lbd 使用教程:lbd www.baidu.com 3、dns查询 github地址:https://code.google.com/p/d...
terraform-aws-waf:配置AWS Web Application防火墙
02-04
Web应用程序防火墙WAF) 链接F5管理的OWASP规则以阻止WAF常见攻击 创建WAF规则以按源IP地址阻止请求(注意:被阻止的IP列表不受此模块管理) 创建WAF规则以按路径阻止请求(在URI中找到) 为WAF创建规则以允许...
go-ftw:Web应用程序防火墙测试框架-Go版本
04-18
测试WAF的框架 该软件应与兼容。 我写这篇文章是为了获得对原始版本的更多见解,并试图阐明内部原理。 我需要深入研究内部代码的许多假设,以了解它们是如何工作的。 我的目标是: 获得兼容的ftw版本,没有依赖...
docker-naxsi-waf-with-ui:基于Ubuntu的Naxsi Web应用程序防火墙
05-05
docker-naxsi-waf-with-ui 关于尖端分公司 运行最新版本的 ,能够使用Elasticseach的搜索/聚合功能和Kibana的可视化功能来分析数据集 该docker映像旨在测试和了解nxapi / nxtool,这是用于naxsi日志的新警报工具,...
wafWeb应用程序防火墙或API网关(应用防火墙API网关)
02-05
WAF是使用Java开发的API网关,通过WAF构建在开源代理之上,所以说WAF易于使用的是 。特性安全拦截,支持各种分析检测,支持脚本(沙箱);流控/ CC防护,支持IP粒度,可扩展; HTTP代理,使用“中间人”式攻击支持...
freewaf部署测试
03-23
freewaf部署测试
waf可以查看post请求吗_WAFNinja:一款绕过WAF的渗透工具
weixin_39957312的博客
12-13 152
0x00 前言在我们平时做渗透测试的时候,难免会遇到各种WAF的阻挡。这时一款良好的绕过WAF的渗透测试工具就显得很受渗透测人员欢迎,在这里我们推荐一款绕过WAF的实用渗透工具,希望对大家平时做渗透有所帮助。0x01简介WAFNinja 是一款采用python编写的命令行工具。它通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需的。该工具的编写目标是方便扩展、易于使用...
WAF-bypass:一款功能强大的Web应用防火墙安全测试工具
Innocence_0的博客
09-11 801
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 512
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
waf 绕过测试工具
cnbird's blog
08-08 1228
https://github.com/ironbee/waf-research http://www.ernw.de/download/tsakwaf/tsakwaf-0.9.1.tar.gz http://sourceforge.net/projects/inundator/files/
推荐开源项目:最佳WAF测试利器——BlazeHTTP
最新发布
gitblog_00037的博客
05-28 525
推荐开源项目:最佳WAF测试利器——BlazeHTTP 项目地址:https://gitcode.com/chaitin/blazehttp 在网络安全领域中,Web应用防火墙(简称WAF)扮演着至关重要的角色,它保护我们的网站免受恶意攻击。然而,如何确保你的WAF能够有效并准确地执行任务呢?这就是BlazeHTTP进入舞台的地方。这是一款功能强大的开源工具,专为测试WAF的检测能力与性能而设计。...
Naxsi源码解析:nginx Web应用防火墙的核心结构
"这篇文章主要介绍了基于nginx的Web应用防火墙Naxsi的源码分析,特别是其中的主要结构体。Naxsi是一个用于检测和防止SQL注入、XSS攻击、CSRF、目录遍历、RFI和文件上传漏洞的模块,支持自定义策略。" 在深入理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孟振优Harvester

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值