1. 威客安全首页
  2. 安全资讯

WAFNinja 一款用于攻击Web应用程序防火墙工具

WAFNinja 一款用于攻击Web应用程序防火墙工具

WAFNinja 一款用于攻击Web应用程序防火墙工具


WAFNinja是用Python编写的CLI工具。它应通过自动执行绕过输入验证的必要步骤来帮助渗透测试人员绕过WAF。创建该工具的目的是易于扩展,易于使用并且可在团队环境中使用。该工具附带了许多存储在本地数据库文件中的有效负载和模糊字符串。WAFNinja支持HTTP连接,GET和POST请求以及Cookies的使用,以便访问仅限于经过身份验证的用户的页面。另外,可以设置拦截代理。

用法:
wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} …

例:
python wafninja.py fuzz -u “http://www.target.com/index.php?id=FUZZ” 
-c “phpsessid=value” -t xss -o output.html 

旁路:
python wafninja.py bypass -u “http://www.target.com/index.php”  -p “Name=PAYLOAD&Submit=Submit”         
-c “phpsessid=value” -t xss -o output.html

插入模糊:
python wafninja.py insert-fuzz -i select -e select -t sql
位置参数:{fuzz,bypass,insert-fuzz,insert-bypass,set-db}
Which function do you want to use?

fuzz                check which symbols and keywords are allowed by the WAF.
bypass              sends payloads from the database to the target.
insert-fuzz         add a fuzzing string
insert-bypass       add a payload to the bypass list
set-db              use another database file. Useful to share the same database with others.

optional arguments:
-h, –help            show this help message and exit
-v, –version         show program’s version number and exit

文章来源及下载:

https://github.com/unamer/WAFNinja

WAFNinja 一款用于攻击Web应用程序防火墙工具

你可能喜欢

SQLassie 一款数据库防火墙工具

wafw00f 一款对Web应用防火墙侦察的工具

WAFNinja 一款用于攻击Web应用程序防火墙工具

原文始发于微信公众号(黑白之道):WAFNinja 一款用于攻击Web应用程序防火墙工具

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X