一个绕WAF的burp插件【附一些绕waf资料】

admin
admin
admin
138435
文章
113
评论
2024年7月20日10:21:14评论23 views字数 931阅读3分6秒阅读模式

免责声明

传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

1.工具介绍

大多数Web应用防火墙(WAF)在处理请求体发送的数据量时存在限制。这意味着对于包含请求体的HTTP请求(如POST、PUT、PATCH等),通常可以通过简单地在请求前添加无用数据来绕过WAF。
当请求被这些无用数据填充时,WAF会处理并分析请求中的前一部分数据,但超出WAF处理限制的部分将直接通过。
nowafpls是一个简单的Burp插件,它会在Repeater标签页中根据上下文将这些无用数据插入到你的HTTP请求中。你可以从预设的无用数据量中选择要插入的数量,或者通过选择“自定义”选项来插入任意数量的无用数据。
这个工具仅由大约80行Python代码组成,非常简单但适用于大多数WAF。已记录的waf限制:
Cloudflare 规则集引擎为128 KB,企业版可达500 MBAWS WAF 8 KB - 64 KB(可根据服务配置)Akamai 8 KB - 128 KBAzure WAF 128 KBFortiweb by Fortinet 100 MBBarracuda WAF 64 KBSucuri 10 MBRadware AppWall 云WAF可达1 GBF5 BIG-IP WAAP 20 MB(可配置)Palo Alto 10 MBCloud Armor by Google 8 KB(可增加至128 KB)

项目地址:

https://github.com/assetnote/nowafpls
2.资料分享

同时为大家准备了一些绕waf相关的资料:
雷池waf社区版文件上传绕过asp绕深信服wafsql_fuzz-检测waf过滤关键字字典SQL /WAF主流数据库手工注入,高级盲注及waf绕过入门2023-01-09 数据库语法整理及WAF绕过方式

下载链接:

链接:https://pan.baidu.com/s/1PcbkNcCmONYBnVm_c9FjDw?pwd=ail3
提取码:ail3
--来自百度网盘超级会员V8的分享

原文始发于微信公众号(棉花糖fans):一个绕WAF的burp插件【附一些绕waf资料】

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月20日10:21:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一个绕WAF的burp插件【附一些绕waf资料】https://cn-sec.com/archives/2973702.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息