项目介绍
大多数web应用程序防火墙(waf)在发送请求正文时,对它们可以处理的数据量有限制。这意味着对于包含请求体(即POST、PUT、PATCH等)的HTTP请求,通常可以通过简单地添加垃圾数据来绕过WAF。
当请求中填充了垃圾数据时,WAF将处理X kb的请求并进行分析,但是超出WAF限制的所有数据都将直接通过
nowafpls是一个简单的Burp插件,它会将这些垃圾数据插入到repeater选项卡中的HTTP请求中,您可以从预设数量的垃圾数据中选择想要插入的数据,也可以通过选择“自定义”选项插入任意数量的垃圾数据。这个工具只有80行左右的Python代码,非常简单,但适用于大多数WAFs
WAF限制
| WAF Provider | Maximum Request Body Inspection Size Limit |
| Cloudflare | 128 KB for ruleset engine, up to 500 MB for enterprise |
| AWS WAF | 8 KB - 64 KB (configurable depending on service) |
| Akamai | 8 KB - 128 KB |
| Azure WAF | 128 KB |
| Fortiweb by Fortinet | 100 MB |
| Barracuda WAF | 64 KB |
| Sucuri | 10 MB |
| Radware AppWall | up to 1 GB for cloud WAF |
| F5 BIG-IP WAAP | 20 MB (configurable) |
| Palo Alto | 10 MB |
使用方式
初始请求被拦截:
使用扩展混淆数据:
演示视频如下:
免责声明
请勿从事非法测试,利用此工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与作者无关。该仅供安全人员用于授权测试,请勿非法使用!!!
下载地址
原文始发于微信公众号(七芒星实验室):NoWAFPls插件:通过一键插入垃圾数据过WAF
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论