WAFNinja:灵活的WAF自动化Fuzz工具

WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。

工具简介

这款工具里有许多的攻击payload和用于fuzz的字符串,都储存在附带的sqlite数据库文件里。另外,WAFNinja支持HTTP的GET和POST请求,也支持带上cookie。当然,必要的时候,我们还可以设置代理。

大致用法:



    

  1. wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ... 
    2. 



下面给出部分案例:


fuzz:




    

  1. python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" -c "phpsessid=value" -t xss -o output.html 
    2. 



bypass:




    

  1. python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" 
    2. 

  2.  -c "phpsessid=value" -t xss -o output.html 
    3. 



插入型fuzz:




    

  1. python wafninja.py insert-fuzz -i select -e select -t sql 
    2. 



参数大致介绍


fuzz 检查能绕过WAF的关键词和符号.


bypass 用数据库中payload进行批量测试


insert-fuzz 添加需要fuzz的字符串


insert-bypass 为bypass的字典添加payload


set-db 添加另外一个数据库文件,可分享给其他人


-h, –help 显示帮助信息


-v, –version 显示程序版本号


作者:佚名


来源:51CTO
				


				
时间: 2024-11-03 09:43:46

		
		


		


	

	
	

		


		
WAFNinja:灵活的WAF自动化Fuzz工具的相关文章


								

		

			

                基于Node.js的自动化构建工具Grunt.js
			

		

		

									

				Java世界里的Maven提供了强大的包依赖管理和构建生命周期管理.在JavaScript的世界 里,随着Node.js的流行,JavaScript原生的构建工具已经成为可能. Grunt.js是基 于Node.js的自动化任务运行器.Grunt.js结合NPM的包依赖管理,完全可以媲美Maven. Grunt.js天然适合前端应用程序的构建--不仅限于JavaScript项目,同样可以用于其他语 言的应用程序构建.越来越多的JavaScript项目已经在使用Grunt,其中最大的使用者包括著			

		

	

				

		

			

                使用iBatis的自动化代码生成工具Abator
			

		

		

									

				原来还不知道iBatis也有像Hibernate类似的自动化代码生成工具,今天找到 Abator这工具也挺不错的,在ecelipse上面小试了一把: 1.获得Abator http://ibatis.apache.org/abator.html Eclipse可以自动的进行Update获取此Plugin,具体见官方的安装步骤 2.安装好后将在New菜单中看到一个新的文件类型Abator for iBATIS Configuration File,此是Abator的配置文件,配置文件的详细说明见			

		

	

				

		

			

                利用Perl实现批量文件MD5自动化校验工具
			

		

		

									

				Message Digest Algorithm-MD5 为计算机安全领域广泛使用的一种散列函数,用于确保信息传输完整一致,是计算机广泛使用的杂凑算法之一.利用 MD5 算法来进行文件校验的方案被大量应用于软件下载站.论坛数据库.系统文件安全等方面. MD5 的典型应用是一致性验证,对一段信息(Message)产生信息摘要(Message-Digest),以防止信息被篡改.例如机密资料的检验,下载文件的检验,明文密码的加密等. 本文介绍一款基于 Perl 实现的批量文件的 MD5 自动化校验工具			

		

	

				

		

			

                静态代码检查-c++有没有和JAVA的gradle类似的自动化构建工具?
			

		

		

									

				问题描述 c++有没有和JAVA的gradle类似的自动化构建工具? c++有没有和JAVA的gradle类似的自动化构建工具?并且检查效率比较高,速度比较快 解决方案 cmake可以.还有像scons之类的			

		

	

				

		

			

                Cloud Foundry参赛博文——Cloudfoundry自动化部署工具Bosh的CPI研究分析
			

		

		

									

				问题描述 我参加了CloudFoundry博客征文大赛,我的参赛作品是:Cloudfoundry自动化部署工具Bosh的CPI研究分析链接: 解决方案 本帖最后由 alan90121 于 2012-11-15 16:06:04 编辑解决方案二:精品贴占座留名解决方案三:平地惊雷响,国内第一篇针对BOSHCPI做深入讲解的公开博客文章解决方案四:不错的文章.支持			

		

	

				

		

			

                Java使用自动化部署工具Gradle中的任务设定教程_java
			

		

		

									

				tasks下面的代码展示了三个Gradle task,稍后会讲解这三者的不同. task myTask { println "Hello, World!" } task myTask { doLast { println "Hello, World!" } } task myTask << { println "Hello, World!" } 我的目的是创建一个task,当它执行的时候会打印出来"Hello, World!			

		

	

				

		

			

                WAF自动化暴破(绕过)脚本xwaf
			

		

		

									

				xwaf xwaf是一个python写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,自动暴破waf Disclaimer [!] legal disclaimer: Usage of 3xp10it.py and web.py for attacking targets without prior mutual consent is   illegal.It is the end user's responsibility to ob			

		

	

				

		

			

                在Mac OS上安装使用Node.js的项目自动化构建工具Gulp_node.js
			

		

		

									

				安装 node.js首先需要安装 node.js, 通常情况下,只需要到 Node.js 官网下载安装包安装就可以了.不过我可耻的失败了,弹出了如下错误: 于是我换成了 brew 大法: brew install nodejs 安装 Gulp gulp 使用 Node.js 的 npm 命令安装: npm install --global gulp 然后在项目目录中还要安装一遍: npm install --save-dev gulp 我对这步的操作比较费解.以我多年码农经验,即然全局安装过了,			

		

	

				

		

			

                Rational Functional Tester一款Jazz协作平台自动化功能测试工具
			

		

		

									

				Rational Team Concert(RTC)是 Jazz 协作平台上的一款 Rational 产品.结合 Jazz 平台高透明性和清晰度的特点,RTC 的优势也很明显地表现出来: 非常适合团队的协同合作,能够极大的提高产品的开发效率. 在一个产品的开发周期中,为团队协作开发提供很好的扩展功能. 使软件的开发更有效率,更智能,更灵活多样. 项目的更新,会实时地反馈到团队以及与项目相关的的每一个成员,使整个项目的进度变得清晰明了(该特点正是本文下面将要 重点讲解的内容). 另外 RTC 还支