今天给大家分享一个开源的BurpSuite插件,功能很简单,但是还挺好用~
众所周知,我们在挖企业SRC的时候,特别是在尝试XSS或SQL注入等常规漏洞的时候,绕WAF是必不可少的,而在众多的绕WAF的技巧中,有一个是填充垃圾数据:
因为有很多WAF并不会处理所有的请求数据,对于请求数据的处理数量是有限制的。而这意味着包含请求体的HTTP请求(比如POST、PUT),一般可以通过简单地填充垃圾数据来绕过WAF。
当请求体中加上了一堆垃圾数据时,WAF最多将处理请求数据的前
N
KB并进行分析,超出部分的所有内容都将直接通过。
所以今天要分享的这个插件nowafpls
,它就可以很简单的帮我们填充垃圾数据:
效果就像这样:
功能很简单,加起来都没有100行代码,但是很实用!
需要的师傅们可以自行去github下载:https://github.com/assetnote/nowafpls
欢迎关注我的公众号“混入安全圈的程序猿”,更多原创文章第一时间推送!