WAFNinja — инструмент атаки брандмауэра веб-приложения — обход WAF

WAFNinja — это инструмент атаки на брандмауэр для веб-приложений на основе Python, предназначенный для того, чтобы помочь тестировщикам на проникновение выполнить обход WAF путем автоматизации шагов, необходимых для обхода проверки ввода.

Инструмент был создан с целью быть легко расширяемым, простым в использовании и пригодным для использования в командной среде.

Что может сделать инструмент атаки брандмауэра для веб-приложений WAFNinja ?

Много полезных нагрузок и строк fuzzing, которые хранятся в файле локальной базы данных, поставляются вместе с инструментом.

WAFNinja поддерживает:

HTTP-соединения
Запросы GET
Запросы POST
Использование файлов cookie (для страниц, стоящих за auth)
Перехват прокси

Использование WAFNinja для обхода WAF

 # wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ... 

Примеры атак на брандмауэр веб-приложений

Fuzz:

 # python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" -c "phpsessid=value" -t xss -o output.html 

Bypass:

 # python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" -c "phpsessid=value" -t xss -o output.html 

Insert-fuzz:

 # python wafninja.py insert-fuzz -i select -e select -t sql 

Вы можете скачать WAFNinja здесь:

WAFNinja-master.zip

Или почитать больше информации здесь.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *