写在前面
正好前两天装了长亭社区版WAF今天又看到一个WAF bypass工具,体验一下WAF有效性验证体验。
目录
0x01 关于WAF-bypass0x02 工具安装0x03 工具使用0x04 未拦截payload统计0x05 有效性测试0x06 参考
关于WAF-bypass
WAF-bypass是一款功能强大的Web应用防火墙安全测试工具,该工具基于Python开发,并且完全开源。在该工具的帮助下,广大研究人员可以使用预定义和可定制的Payload来分析任何Web应用防火墙的安全性,并在资产被攻击之前提升系统防火墙的安全性能。
工具安装
工具有docker环境,这里就直接用docker安装
docker pull nemesida/waf-bypass工具使用
docker run nemesida/waf-bypass --host='example.com'### 指定网页,限制线程15,假阳性和假阴性Payloaddocker run nemesida/waf-bypass --host='http://10.53.1.10:8080' --threads 15 --details
查看waf拦截情况
未拦截payload统计
--details查看假阳性和假阴性Payload,--json-format将扫描结果存储为JSON格式文件这里1.json中每一项都会发包一次
有效性测试
### 仅测试API,排除其他所有目录,显示detail。docker run nemesida/waf-bypass --host='http://10.53.1.10:8080' --threads=15 --detail --exclude-dir=XSS --exclude-dir=UWA --exclude-dir=SSTI --exclude-dir=SSRF --exclude-dir=SSI --exclude-dir=SQLi --exclude-dir=RFI --exclude-dir=RCE --exclude-dir=OR --exclude-dir=NoSQLi --exclude-dir=Misc --exclude-dir=MFD --exclude-dir=LFI --exclude-dir=LDAP --exclude-dir=GraphQL --exclude-dir=FP --exclude-dir=CM
共发送30条攻击记录。观察WAF,接收到29条告警,其中放行2个,未监测1条
放行内容
唯一一个没有检测到的内容进行重放,发现确实没拦截。接下来有需要就可以报给厂商,更新规则库了。
参考
https://www.freebuf.com/articles/network/362991.htmlhttps://github.com/nemesida-waf/waf-bypass
写在最后
本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
