网安 - 专业的网络安全产业、社区、知识平台

一款盲目WAF识别工具

VSole2023-05-19 08:58:46

一种识别工具,可以基于盲目推理识别Web保护类型(即WAF)。盲推理是通过检查由一组预定义的攻击性(非破坏性)有效载荷引起的响应来完成的,其中这些有效载荷仅用于触发介于两者之间的Web保护系统(例如),目前,它支持80多种不同的保护产品。

用法:

$ python identYwaf.py 
                                    __ __ 
 ____  ___      ___  ____   ______ |  T  T __    __   ____  _____ 
l    j|   \    /  _]|    \ |      T|  |  ||  T__T  T /    T|   __|
 |  T |    \  /  [_ |  _  Yl_j  l_j|  ~  ||  |  |  |Y  o  ||  l_
 |  | |  D  YY    _]|  |  |  |  |  |___  ||  |  |  ||     ||   _|
 j  l |     ||   [_ |  |  |  |  |  |     ! \      / |  |  ||  ] 
|____jl_____jl_____jl__j__j  l__j  l____/   \_/\_/  l__j__jl__j  (1.0.XX)
Usage: python identYwaf.py [options] url>
Options:
  --version           Show program's version number and exit
  -h, --help          Show this help message and exit
  --delay=DELAY       Delay (sec) between tests (default: 0)
  --timeout=TIMEOUT   Response timeout (sec) (default: 10)
  --proxy=PROXY       HTTP proxy address (e.g. "http://127.0.0.1:8080")
  --proxy-file=PRO..  Load (rotating) HTTP(s) proxy list from a file
  --random-agent      Use random HTTP User-Agent header value
  --code=CODE         Expected HTTP code in rejected responses
  --string=STRING     Expected string in rejected responses
  --post              Use POST body for sending payloads

0x01 identYwaf链接获取

https://github.com/stamparm/identYwaf

waf
本作品采用《CC 协议》,转载必须注明作者和本文链接
WAFNinja:一款绕过WAF的渗透测试工具【文末抽书】
2022-07-12 22:45:42
0x00 简介WAFNinja 简介WAFNinja 是一款采用Python编写的命令行工具。它通过自动化步骤来帮助渗透测试者来绕过WAF,而这些步骤对于绕过输入验证来说是必需的。
WAF指纹识别工具
2022-04-11 06:18:47
原理发送正常的 HTTP 请求并分析响应;这确定了许多 WAF 解决方案。如果不成功,则发送多个HTTP 请求,并使用简单的逻辑来示例就是WAF
WAF绕过工具
2022-03-02 06:34:03
Nemesida WAF 团队 ( nemesida-waf.com ) 的 WAF Bypass 是一个开源工具 (Python3),用于使用预定义的有效负载检查任何 WAF 的误报/误报数量(如果需要,可以更改有效负载集)。使用前关闭禁用模式。 为内部需求开发的脚本,包括用于测试 Nemesis WAF 和 Nemesida WAF Free,但您可以使用它来测试任何 WAF
WAF-Bypass之SQL注入绕过思路总结
2022-01-14 06:45:55
如果流量都没有经过WAFWAF当然无法拦截攻击请求。当前多数云WAF架构,例如百度云加速、阿里云盾等,通过更改DNS解析,把流量引入WAF集群,流量经过检测后转发请求到源站。如图,dict.com接入接入WAF后,dict.com的DNS解析结果指向WAF集群,用户的请求将发送给WAF集群,WAF集群经过检测认为非攻击请求再转发给源站。
WAF原理概述及绕过思路
2021-12-22 07:40:56
WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF
WAF-Bypass之SQL注入绕过安全狗
2021-12-17 08:16:55
Bypass安全狗MySQL注入
干货|WAF分类及绕过思路
2021-12-08 21:59:36
一般的做法,是解绑域名,再到web服务上绑定该域名。也就是说,规则引擎分为两块,对请求过滤和对响应过滤,而对请求过滤分为两大步,网络层过滤和应用层过滤。
WAF分类及绕过思路
2021-11-26 05:17:12
WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF
WAF CDN 的识别方法
2021-11-22 07:37:57
CDN 是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN 的关键技术主要有内容存储和分发技术。
VSole
网络安全专家