Go Test WAF报表分析

最新推荐文章于 2024-05-14 09:37:07 发布
最新推荐文章于 2024-05-14 09:37:07 发布
阅读量217 收藏 2
点赞数
分类专栏: Web渗透 文章标签: web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62392791/article/details/131684890
版权

报表查看

我是执行了代码:

go run ./cmd --url=http://X.X.X.X/ --wsURL=ws://X.X.X.X/api/ws

我对自己的攻击网址进行了隐藏,大家根据自己需要填写就行。

得到了报表:

TEST SET:采用的分析方式,

community:公开收集的一些可能的攻击方式。

owasp:开放式Web应用程序安全项目。

owasp-api:API安全漏洞类型。

TEST CASE:测试用例,就是利用的攻击方式是哪一种,这个就不具体解释了,有需要大家自己查就行了。

PERCENTAGE:百分比。blocked/(sent-unresolved)

BLOCKED:被阻断的。(默认阻断的状态码是403)

BYPASSED:绕过,未被阻断.(默认状态码是404和200)

UNRESOLVED:未解决的(默认的状态码是0和405)

SEND:发送

FAILED:失败

 DATE:时间

PROJECT NAME:项目名称(默认情况下是通用,WAF产品的名称)

TRUE NEGATIVE SCORE:真阴性得分(相当于是攻击测试中被成功阻断的)

之后跟的几个就是正常的比例,和一些数据

Positive Tests:正向测试(上面Negative是攻击测试)

东西是一样的,除了一个FALSE POSITIVE SCORE:假阳性得分(指本来不是攻击,被误判成攻击)

Summary:总结

type:类型,我这里显示的是API安全和应用安全

TRUE-NEGATIVE TESTS BLOCKED:真阴性测试被阻止,指的是攻击操作被阻止的占比

TRUE-POSITIVE TESTS PASSED:真阳性测试通过,指的是正常的请求通过的数量占比

AVERAGE:平均分(显而易见)

 SCORE:最终得分

这里可能会出现N/A,这是由于没有进行相关测试,得分为0

归风叶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WAF检测率及误报测试工具Gotestwaf
colgcolg的博客
01-02 1万+
WAF检测率 误报率测试工具
什么是WAF防护?
热门推荐
ying_yingying的博客
02-04 1万+
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。     SQL注入攻击(SQL Injection),          简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件
使用Gotestwaf测试WAF检测能力
weixin_43977912的博客
10-08 790
关于Gotestwaf Gotestwaf,全称为Go Test WAF,该工具可以使用不同类型的攻击技术和绕过技术来测试Web应用程序防火墙的检测能力。Gotestwaf是一个基于Go开发的开源项目,它实现了一种三步请求生成过程,可以对编码器和占位符的Payload进行相乘操作。假设你定义了2个Payload、3个编码器(Base64、JSON和URLencode)和1个占位符(HTTP GET变量)。在这种情况下,Gotestwaf将在测试用例中发送231=6个请求。 Payload 你可以发送的Pa
2024年Go最新使用Gotestwaf测试WAF检测能力,准备Golang面试
2401_84925152的博客
05-11 908
由于这是一个YAML字符串,因此你还可以使用二进制编码,具体请参考https://yaml.org/type/binary.html。运行命令之后,你将会在reports文件夹下查看到waf-test-report-.pdf报告文件,你也可以将其映射到容器中的/go/src/gotestwaf/reports处。最新版本的Gotestwaf可以通过DockerHub库直接获取:https://hub.docker.com/r/wallarm/gotestwaf
gotestwaf:Go Test WAF是一种工具,可针对各种类型的攻击和绕过技术来测试您的WAF检测功能
03-21
测试WAF 一个开源Go项目,用于测试不同的Web应用程序防火墙(WAF)的检测逻辑和旁路。 怎么运行的 这是一个三步的请求生成过程,该过程将有效载荷的数量乘以编码器和占位符。假设您定义了2个有效负载,3个编码器(Base64,JSON和URLencode)和1个占位符(HTTP GET变量)。在这种情况下,该工具将在一个测试用例中发送2x3x1 = 6个请求。 有效载荷 您想要发送的有效负载字符串。类似于[removed]alert(111)[removed]或更复杂的东西。到目前为止,还没有宏,但是它在我们的TODO列表中。由于它是YAML字符串,因此如果您想访问 ,请使用二进制编码。 编码器 该工具应将数据编码器应用于有效载荷。 Base64,JSON Unicode(\ u0027代替')等。 占位符 HTTP请求中应编码有效负载的位置。像URL参数,URI,POST表单参数或JS
探索Web安全新境界:GoTestWAF
gitblog_00055的博客
05-14 467
探索Web安全新境界:GoTestWAF 项目地址:https://gitcode.com/wallarm/gotestwaf GoTestWAF是一款强大而全面的API和OWASP攻击模拟工具,支持多种API协议,包括REST、GraphQL、gRPC、WebSockets等。其设计目标是评估Web应用安全性解决方案,如API安全代理、Web应用防火墙、IPS、API网关等。无论是开发者还是安全...
Go Test WAF基础
qq_62392791的博客
07-12 649
GoTest WAF是一个用于API和OWASP攻击模拟的工具,支持广泛的API协议,包括REST、GraphQL、gRPC、WebSockets、SOAP、XMLRPC和其他协议。它旨在评估web应用程序安全解决方案,如API安全代理、web应用程序防火墙、IPS、API网关等。原理GoTestWAF使用放置在HTTP请求不同部分的编码有效载荷生成恶意请求:其正文、标头、URL参数等。生成的请求将发送到GoTestWAF启动期间指定的应用程序安全解决方案URL。
彩虹战队waf测试工具(测试数据)
cnmeimei的博客
08-22 962
安全狗 D盾 云锁 360主机卫士 奇安信 绿盟 腾讯云 百度云 阿里云 小米斗鱼 启明星辰/天融信 深信服 华为 知道创宇 长亭 360天眼
WAF产品分析报告2022.docx
07-01
网络安全 waf web防火墙 防火墙
基于go开发的waf,包括网关和WAF两部分;.zip
最新发布
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、效、安全和并发的编程语言,特别适用于构建性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: ...
go-ftw:Web应用程序防火墙测试框架-Go版本
04-18
Go-FTW-在Go!中测试WAF的框架 该软件应与兼容。 我写这篇文章是为了获得对原始版本的更多见解,并试图阐明内部原理。 我需要深入研究内部代码的许多假设,以了解它们是如何工作的。 我的目标是: 获得兼容的ftw版本,没有依赖关系并且易于部署 对CI / CD非常友好 快一点(如果可能的话) 添加功能,例如: 测试文件的语法检查 使用docker API来获取日志(如果可能),因此无需读取文件 为CI添加不同的输出(junit xml?,github,gitlab等) 安装 只需获取您的体系结构的二进制文件,然后运行它即可! 用法示例 要运行测试,您需要: WAF(doh!) WAF存储日志的文件 配置文件或环境变量,其中包含获取日志以及如何解析日志的信息(我可能会将其嵌入最常用的日志文件中,例如Apache / Nginx) 默认情况下, ftw将在$PWD搜索名称
go-wafw00f:使用golang重新嵌入开源工具wafw00f
03-04
GO-WAFW00F 介绍 WAFW00F是一种优秀的网络应用防火墙识别开源工具: : 使用Golang重写的原因:Python环境配置不便利,Golang打包生成替代文件直接运行 目前还在开发阶段,规则解析存在的小问题,考虑加入协程提执行效率 项目显示由Python编写实际上是因为直接复制了数量众多的py规则库,使用golang正则解析 快速开始 直接在github的发布页面下载重组文件: ./go-wafw00f.exe -u http://www.xxx.com/ 简单原理 使用官方的py文件,但不以python执行,因为太过于麻烦,使用正则解析匹配规则 将解析后的规则集保存为json文件,每次执行首先检测json文件,提效率 如果官方库有更新, ./waf/lib目录即可同步更新 支持WAF列表 WAF Name Manuf
浅谈WAF市场中常见的检测技术
10-19
启明星辰,WAF,Web应用防火墙,算法,Web服务器,随着电子商务、网上银行、电子政务的盛行,Web服务器承载的业务价值越来越Web服务器所面临的安全威胁也随之增大,因此,针对Web应用层的防
waf识别指纹工具
10-08
WAFW00F识别和指纹Web应用防火墙(WAF)产品。 其工作原理是首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符,若没有在通过发送一个恶意的请求触发waf拦截来获取其返回的特征来判断所使用的waf
go语言实现字符串base64编码的方法
09-22
主要介绍了go语言实现字符串base64编码的方法,实例分析了Go语言操作字符串的技巧及base64编码的使用技巧,需要的朋友可以参考下
WAF的工作原理和绕过浅析
谢公子的博客
12-12 1万+
目录 WAF WAF的判断 WAF的工作原理 基于规则库匹配的WAF WAF的绕过 域名转换为ip WAF解析HTTP请求阶段绕过 分块编码(Transfer-Encoding)绕过WAF 其他 WAF匹配规则阶段绕过 利用溢量数据绕过WAF 其他 结语 WAF 在实际的渗透测试过程中,经常会碰到网站存在WAF的情况。网站存在WAF,意味着我们不能使用安全工具对网站进...
waf测试用例
weixin_34198583的博客
10-07 680
XSS Filter Evasion Cheat Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet MySQL Inject Bypass WAF http://pastebin.com/D8UXsyR8 转载于:https://www.cnblogs.com/debugzer0/ar...
go 语言的开源 WAF
05-19
Go语言的开源WAF有很多选择,以下是一些比较流行的: 1. Golang WAF:一个基于Go语言开发的Web应用程序防火墙,提供了常见的Web攻击防御功能,如SQL注入、XSS、CSRF等。 2. Sentinel:一个轻量级的流量控制框架,也可以作为WAF使用。它支持防止SQL注入、XSS、CSRF等攻击,并且可以根据规则进行自定义扩展。 3. ModSecurity:一个跨平台的Web应用程序防火墙,使用ModSecurity语言编写规则。它可以防止SQL注入、XSS、CSRF等攻击,并且支持自定义规则。 4. NAXSI:一个开源的性能WAF,专门针对Nginx服务器。它使用正则表达式来检测和防止常见的Web攻击,如SQL注入、XSS等。 以上是一些常见的Go语言开源WAF,你可以根据自己的实际需求选择适合自己的WAF

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值