WAFNinja – это инструмент атаки на брандмауэр для веб-приложений на основе Python, предназначенный для того, чтобы помочь тестировщикам на проникновение выполнить обход WAF путем автоматизации шагов, необходимых для обхода проверки ввода.
Инструмент был создан с целью быть легко расширяемым, простым в использовании и пригодным для использования в командной среде.
Содержание
Что может сделать инструмент атаки брандмауэра для веб-приложений WAFNinja ?
Много полезных нагрузок и строк fuzzing, которые хранятся в файле локальной базы данных, поставляются вместе с инструментом.
WAFNinja поддерживает:
HTTP-соединения
Запросы GET
Запросы POST
Использование файлов cookie (для страниц, стоящих за auth)
Перехват прокси
Использование WAFNinja для обхода WAF
# wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ...
Примеры атак на брандмауэр веб-приложений
Fuzz:
# python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" -c "phpsessid=value" -t xss -o output.html
Bypass:
# python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" -c "phpsessid=value" -t xss -o output.html
Insert-fuzz:
# python wafninja.py insert-fuzz -i select -e select -t sql
Вы можете скачать WAFNinja здесь:
Или почитать больше информации здесь.