WAFNinja:灵活的WAF自动化Fuzz工具

最新推荐文章于 2024-04-12 09:41:37 发布
最新推荐文章于 2024-04-12 09:41:37 发布
阅读量595 收藏
点赞数
文章标签: 数据库 python php
原文链接:https://yq.aliyun.com/articles/185954
版权

WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。

工具简介

这款工具里有许多的攻击payload和用于fuzz的字符串,都储存在附带的sqlite数据库文件里。另外,WAFNinja支持HTTP的GET和POST请求,也支持带上cookie。当然,必要的时候,我们还可以设置代理。

大致用法:

 
  
  1. wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ... 
 
  
下面给出部分案例:
 
  
fuzz:
 
  
 
  
  1. python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" -c "phpsessid=value" -t xss -o output.html 
 
  
bypass:
 
  
 
  
  1. python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" 
  2.   -c "phpsessid=value" -t xss -o output.html  
 
  
插入型fuzz:
 
  
 
  
  1. python wafninja.py insert-fuzz -i select -e select -t sql 
 
  
参数大致介绍
 
  
fuzz 检查能绕过WAF的关键词和符号.
 
  
bypass 用数据库中payload进行批量测试
 
  
insert-fuzz 添加需要fuzz的字符串
 
  
insert-bypass 为bypass的字典添加payload
 
  
set-db 添加另外一个数据库文件,可分享给其他人
 
  
-h, –help 显示帮助信息
 
  
-v, –version 显示程序版本号
 
  

 
  
作者:佚名
 
  
来源:51CTO
 
 
 


                

        

        




    

  


    

      

        

            

              
                
                  Vincent8080
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
WAF自动化Fuzz工具-WAFNinja(绕WAF、绕过WAF

				
			

			

				

					墨痕诉清风的博客
				

				

					03-04
					
					691
					
				

			

		

		

			
				
前言

在我们平时做渗透测试的时候,难免会遇到各种WAF的阻挡。这时一款良好的绕过WAF的渗透测试工具就显得很受渗透测人员欢迎,在这里我们推荐一款绕过WAF的实用渗透工具,希望对大家平时做渗透有所帮助。

简介

WAFNinja是一款用Python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需的。该工具的编写目标是方便扩展、易于使用和在团队环境下也可

			
		

	



                

              
                



	

		

			

				
					
WAF自动化Fuzz工具-WAFNinja

				
			

			

				

					hackzkaq的博客
				

				

					03-02
					
					388
					
				

			

		

		

			
				
零基础学黑客,搜索公众号:白帽子左一

前言
在我们平时做渗透测试的时候,难免会遇到各种WAF的阻挡。这时一款良好的绕过WAF的渗透测试工具就显得很受渗透测人员欢迎,在这里我们推荐一款绕过WAF的实用渗透工具,希望对大家平时做渗透有所帮助。

简介
WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。
通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需的。该工具的编写目标

			
		

	



                


  
              

                


	

		

			

				
					
WAFNinja-一款绕过WAF的渗透工具

				
			

			

				

					煜铭2011
				

				

					06-13
					
					4003
					
				

			

		

		

			
				
0x00 前言
        在我们平时做渗透测试的时候,难免会遇到各种WAF的阻挡。这时一款良好的绕过WAF的渗透测试工具就显得很受渗透测人员欢迎,在这里我们推荐一款绕过WAF的实用渗透工具,希望对大家平时做渗透有所帮助。
0x01简介
      WAFNinja 是一款采用python编写的命令行工具。它通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需

			
		

	





	

		

			

				
					
探秘WAFNinja:一款高效的Web应用防火墙绕过工具

					
最新发布

				
			

			

				

					gitblog_00088的博客
				

				

					04-12
					
					404
					
				

			

		

		

			
				
探秘WAFNinja:一款高效的Web应用防火墙绕过工具
项目地址:https://gitcode.com/khalilbijjou/WAFNinja
项目简介
WAFNinja 是一个开源的Python库,专门设计用于绕过Web应用防火墙(WAF)。这个项目由Khalil Bijjou创建,旨在帮助安全研究人员和渗透测试人员在进行安全评估时,更有效地对抗WAF的保护机制。
技术分析
WAFNin...

			
		

	



		

			
		



	

		

			

				
					
自动化WAF的实用渗透工具——WAFNinja

				
			

			

				

					hackzkaq的博客
				

				

					12-27
					
					971
					
				

			

		

		

			
				
> `搜索公众号:白帽子左一,每天更新技术干货!

前言
在我们平时做渗透测试的时候,难免会遇到各种WAF的阻挡。这时一款良好的绕过WAF的渗透测试工具就显得很受渗透测人员欢迎,在这里我们推荐一款绕过WAF的实用渗透工具,希望对大家平时做渗透有所帮助。
简介
WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。
此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。
通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需的

			
		

	





	

		

			

				
					
waf可以查看post请求吗_WAFNinja:一款绕过WAF的渗透工具

				
			

			

				

					weixin_39957312的博客
				

				

					12-13
					
					161
					
				

			

		

		

			
				
0x00 前言在我们平时做渗透测试的时候,难免会遇到各种WAF的阻挡。这时一款良好的绕过WAF的渗透测试工具就显得很受渗透测人员欢迎,在这里我们推荐一款绕过WAF的实用渗透工具,希望对大家平时做渗透有所帮助。0x01简介WAFNinja 是一款采用python编写的命令行工具。它通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需的。该工具的编写目标是方便扩展、易于使用...

			
		

	





	

		

			

				
					
附录:WAF自动化FUZZ脚本1

				
			

			

				

					08-03
				

			

		

		

			
				
附录:WAF自动化FUZZ脚本1

			
		

	





	

		

			

				
					
fuzzpedal:基于著名的BigMuffPi:guitar::guitar::guitar:的FUZZ吉他踏板

				
			

			

				

					04-02
				

			

		

		

			
				
该存储库包含有关如何基于著名的Big Muff PI踏板构建Fuzz Pedal的大量信息。 原理图 PCB尺寸 PCB的3D渲染 PCB照片 组装好的踏板的照片 演示记录 即将推出!!! | --- | --- | | | | | | | | | | 去做 添加(经过...

			
		

	





	

		

			

				
					
go-fuzz-corpus:github.comdvyukovgo-fuzz示例的语料库

				
			

			

				

					05-07
				

			

		

		

			
				
例如,如果你对`encoding/json`包感兴趣,你可以分析`go-fuzz-corpus-master/encoding/json`目录下的文件,使用`go-fuzz`工具对`json.Unmarshal`等函数进行模糊测试。  总的来说,`go-fuzz`和`go-fuzz-corpus`是Go...

			
		

	





	

		

			

				
					
Waf编译器

				
			

			

				

					yxq_1234的博客
				

				

					01-07
					
					2357
					
				

			

		

		

			
				
https://gitlab.com/ita1024/waf
waf启动脚本:
waf_light.py主函数“Scripting.waf_entry_point(cwd, VERSION, wafdir)”。
Scripting.py脚本:
def  waf_entry_point(current_directory, version, wafdir):
参数:
current_director...

			
		

	





	

		

			

				
					
WAFNinja-master

				
			

			

				

					03-13
				

			

		

		

			
				
探查WAF

			
		

	





	

		

			

				
					
开源编译工具waf的源代码

				
			

			

				

					09-07
				

			

		

		

			
				
WAF是基于python的一种开源编译系统,作者是Thomas Nagy。
WAF支持C/C++、C#、Java、Python、Fortran、D语言(gdc和dmd均支持)等等。
正如waf wiki所说,Ant更适合编译Java项目,Make在设计上具有局限性,个人推荐这款在多种编程语言在多平台混编时表现不俗的编译系统。
该开源代码遵循新BSD许可证,从google code上可免费获得最新源代码,目前最新版本为1.7.16。由于国内对google访问权限的限制,本人在此备份一份waf源代码作个人参考。

			
		

	





	

		

			

				
					
学习waf编译框架例子

				
			

			

				

					08-20
				

			

		

		

			
				
waf 是一个帮助构建和编译系统的框架。
利用waf比直接写make file 简单点,这是我学习时使用的例子。
压缩包里面的sendMessage例子,直接waf configure build -v就可以编译使用。共同学习进步。

			
		

	





	

		

			

				
					
web防火墙WAF功能测试方案

				
			

			

				

					10-17
				

			

		

		

			
				
根据国际权威机构WASC(Web Application Security Consortium )和OWASP(Open Web Application Security Project)的分析,国内外的信息安全厂商当前能防范的针对Web服务器的攻击类型主要有SQL注入攻击、XSS攻击、HTTP Flood攻击、爬虫、CGI扫描、漏洞扫描、盗链防护、CSRF(Cross-Site Request Forgery)攻击防护等。但事实上,能防范和能准确高效防范是两个完全不同的概念。只有提供准确高效防范,才能保护最终用户的投资,并提升对外交互体验。纵观国内外的WAF产品,针对这些攻击的检测手段也各有特色。

			
		

	





	

		

			

				
					
WAF误报及绕过测试.xlsx

				
			

			

				

					09-09
				

			

		

		

			
				
本文件是攻击报文:含有攻击性的post/get报文请求,可以作为网络安全测试的工具进行使用,文件含有攻击性,切勿使用将其用作攻击他人网站测试

			
		

	





	

		

			

				
					
fuzzwaf

				
			

			

				

					qq_41048303的博客
				

				

					11-17
					
					2021
					
				

			

		

		

			
				
fuzzwaf(SQL注入)
1.fuzz.py
import requests
import sys

fuzz_zs = ['/*', '*/', '/*!', '/**/', '?', '/', '*', '=', '`', '!', '%', '.', '-', '+']
fuzz_sz = ['']
fuzz_ch = ["%0a", "%0b", "%0c", "%0d", "%0e", "%0f", "%0g", "%0h", "%0i", "%0j","%0k","%0l","%0m","

			
		

	





	

		

			

				
					
学习笔记:waf帮助构建及编译系统

					
热门推荐

				
			

			

				

					fanchenxinok的专栏
				

				

					08-20
					
					1万+
					
				

			

		

		

			
				
waf 是一个帮助构建和编译系统的框架。

一、下载waf安装包

下载安装包: https://waf.io/
    或者: $ curl -o waf-2.0.9.tar.bz2 https://waf.io/waf-2.0.9.tar.bz2

二、解压及安装

$ tar xjvf waf-2.0.9.tar.bz2
$ cd waf-2.0.9
$ ./waf-light

三、为了方...

			
		

	





	

		

			

				
					
渗透测试-SQL注入之Fuzz绕过WAF

				
			

			

				

					lza20001103的博客
				

				

					04-21
					
					4476
					
				

			

		

		

			
				
渗透测试-SQL注入之Fuzz绕过WAF

			
		

	





	

		

			

				
					
ArduPilot之开源代码waf编译

				
			

			

				

					lida2003的专栏
				

				

					12-23
					
					1920
					
				

			

		

		

			
				
通过上面wafwaf提供了一个命令行集成开发环境;支持目标板选择;支持微系统选择;支持编译配置选择;支持目标板固件烧;支持CI功能:比如:单元测试,覆盖率测试等。

			
		

	





	

		

			

				
					
Android漏洞挖掘与防御:深度解析Binder与Fuzz实战

				
			

			

				

					
				

			

		

		

			
				
此外,Fuzz技术在检测Android漏洞方面的作用不容忽视,通过自动化测试和输入数据变异,Fuzz技术能够揭示系统中的潜在问题,包括边界条件处理不当、内存安全漏洞等。对于防御这些漏洞,开发者需要了解并遵循最佳实践...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值