项目介绍
大多数web应用程序防火墙(waf)在发送请求正文时,对它们可以处理的数据量有限制。这意味着对于包含请求体(即POST、PUT、PATCH等)的HTTP请求,通常可以通过简单地添加垃圾数据来绕过WAF。
当请求中填充了垃圾数据时,WAF将处理X kb的请求并进行分析,但是超出WAF限制的所有数据都将直接通过
nowafpls是一个简单的Burp插件,它会将这些垃圾数据插入到repeater选项卡中的HTTP请求中,您可以从预设数量的垃圾数据中选择想要插入的数据,也可以通过选择“自定义”选项插入任意数量的垃圾数据。这个工具只有80行左右的Python代码,非常简单,但适用于大多数WAFs
WAF限制
| WAF Provider | Maximum Request Body Inspection Size Limit |
| Cloudflare | 128 KB for ruleset engine, up to 500 MB for enterprise |
| AWS WAF | 8 KB - 64 KB (configurable depending on service) |
| Akamai | 8 KB - 128 KB |
| Azure WAF | 128 KB |
| Fortiweb by Fortinet | 100 MB |
| Barracuda WAF | 64 KB |
| Sucuri | 10 MB |
| Radware AppWall | up to 1 GB for cloud WAF |
| F5 BIG-IP WAAP | 20 MB (configurable) |
| Palo Alto | 10 MB |
使用方式
初始请求被拦截:
使用扩展混淆数据:
演示视频如下:
免责声明
请勿从事非法测试,利用此工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与作者无关。该仅供安全人员用于授权测试,请勿非法使用!!!
下载地址
回复关键字【240718】获取下载链接
·推 荐 阅 读·
最新后渗透免杀工具
【护网必备】高危漏洞综合利用工具
【护网必备】Shiro反序列化漏洞综合利用工具增强版
【护网必备】外网打点必备-WeblogicTool
【护网必备】最新Struts2全版本漏洞检测工具
Nacos漏洞综合利用工具
重点OA系统漏洞利用综合工具箱
【护网必备】海康威视RCE批量检测利用工具
【护网必备】浏览器用户密码|Cookie|书签|下载记录导出工具
横向移动之RDP&Desktop Session Hija
