文章 标签 分类 关于

[开源工具] - Burp插件nowafpls

izy avatarizy  收录于  类别 信息安全  系列
     约 446 字   预计阅读 2 分钟 
系列 - Information Security

WAF是用来防护7层应用程序的最常见的产品。利用各种技术和工具来绕过WAF的检测和防护机制,也成了最常被提到的“话题”,因为只有这样才能对目标应用进行更彻底的黑盒发掘,发现更多的安全风险。

以下是一个不到百行Python代码实现的burp插件nowafpls的介绍,简单粗暴,通过插入垃圾数据来达到bypass WAF防护的目的

  • 下载源码

json

git clone https://github.com/assetnote/nowafpls.git

clone

  • 加载Burp插件

json

burpsuite -> Extender -> Add -> "nowafpls.py" -> 确定

load

info

limit

使用aws的waf作为测试,正好业务系统有对应的防护手段

block

nowafpls 将根据请求类型(URLEncoded/XML/JSON)自动插入垃圾数据。

insert

data

data

bypass

从测试的用例来看,当请求中插入足够大的垃圾数据,也就是截图中填充了这些0000000(垃圾数据)时,AWS 的WAF将达到默认配置的最大包limit限制,超过处理最大的请求*KB直接放行,他不检测了。也就是进行了大包的绕过。

  • 原始项目地址:https://github.com/assetnote/nowafpls
  • 项目克隆地址:https://gitee.com/secrole/nowafpls

相关内容

[安全运营] - 基于特定的场景服务优化Tips

[开源工具] - Burp一款新扩展:JWT-scanner

[开源工具] - BypassFuzzer

[开源工具] - chromedb读取本地Chromium数据

[开源工具] - Cookie-Monster

更新于 2024-09-13
阅读原始文档
 信息安全WAF开源工具NowafplsBurp插件
 | 主页