51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

可绕过WAF的Burp Suite插件——BypassWAF

作者:phper
安全 数据安全
我们在渗透测试有时遇到WAF(应用层防火墙),这往往令人头疼。Burp Suite是响当当的web应用程序渗透测试集成平台,而这款插件可以帮助你绕过某些WAF。

我们在渗透测试有时遇到WAF(应用层防火墙),这往往令人头疼。Burp Suite是响当当的web应用程序渗透测试集成平台,而这款插件可以帮助你绕过某些WAF。

使用步骤

增加Burp扩展

启用Bypass WAF扩展

修改工具和URL的范围

配置Bypass WAF的绕过选项

可绕过WAF的Burp Suite插件——BypassWAF

未来功能

HTTP 参数污染 - 自动在GET/POST实现HPP攻击测试

HTTP Request Smuggling - 自动进行HTTP Request Smuggling攻击

下载地址

责任编辑:蓝雨泪 来源: FreeBuf
BypassWAF渗透测试WAF
相关推荐
WAF自动化暴破(绕过)脚本xwaf
xwaf是一个python写的waf自动绕过工具,上一个版本是bypasswaf,xwaf相比bypasswaf更智能,可无人干预,自动暴破waf。

2017-03-03 09:10:09

浅谈WAF绕过
因工作原因研究了几天WAF绕过,简单分享下WAF绕过思路。对一些攻击特征串进行不同的编码,如:URL编码,ASCII,Unicode.使用一些非标准的编码很容易就造成WAFBYPASS.

2012-12-24 13:50:54

WAF绕过几个技巧
本文中,笔者与大家分享了几个WAF绕过的技巧。

2013-06-03 10:02:53

WAF绕过
安全工具OWASP、Burp Suite、Appscan对比
本文将根据OWASPZAP工具特性,分别将其与BurpSuite、AppScan工具进行对比,来感受该工具的强大功能。

2020-10-23 07:36:19

安全工具OWASP ZAPweb安全
WAF绕过捷径与方法
在企业架构中,安全体系同剥洋葱一般,由外及内是由一层层的安全产品和规范构成,越处于外层承重越大,WAF属七层防护的第一道墙,WAF成了安全战场中被炮火攻击最惨烈的前线。

2019-02-19 08:45:41

利用 Burp Suite 劫持 Android App 流量(一)
在本文中,我将使用PortSwigger的Burp套件代理,但是相同的步骤当然可以用于任何HTTP代理。

2021-03-02 09:41:52

Android App攻击流量
SQL注入中WAF绕过技术
比如WAF检测关键字,那么我们让他检测不到就可以了。比如检测union,那么我们就用%55也就是U的16进制编码来代替U,union写成%55nION,结合大小写也可以绕过一些WAF,你可以随意替换一个或几个都可以。

2013-01-11 16:23:29

浅谈绕过WAF数种方法
08年初诞生了一种SQL群注攻击,黑客在全球范围内对asp,asp.net加MSSQL架构的网站进行了疯狂扫荡。由于MSSQL支持多语句注入,黑客通过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改,可以在网站上无差别的进行网页木马攻击。

2011-09-06 16:56:43

Burp Suite:Web应用程序攻击集成平台
BurpSuite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量接口可以互相通信,之所以这样设计的目的是为了促进和提高整个攻击的效率。

2010-12-15 17:22:59

调查:半数网络攻击都可绕过WAF
根据Neustar的最新调查,黑客绕过Web应用程序防火墙(WAF)的能力正在快速提升,容易受到网络攻击的企业数量正在激增。

2020-07-31 11:02:09

网络攻击WAF黑客
WAF绕过方法从简单到高级
Web应用防火墙是通过执行一系列针对HTTPHTTPS的安全策略来专门为Web应用提供保护的一款产品。

2013-05-13 11:25:02

WAFWeb应用防火墙WAF绕过
如何使用lazyCSRF在Burp Suite上生成强大CSRF PoC
lazyCSRF是一款功能强大的BurpSuite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造)PoC。

2021-12-09 09:51:30

插件安全工具lazyCSRF
XSS现代WAF规则探测及绕过技术
黑名单方式永远不是最好的解决办法,但是相对与白名单效率很高,对于WAF供应商来说,最好的实践如下:开发者和管理员要注意WAF只能缓解攻击,并且针对已知的弱点的防护只是和源代码修复的方法打个时间差……

2013-12-18 09:39:37

XSSWAF绕过
在SQL注入中利用MySQL隐形类型转换绕过WAF检测
除去弱口令与暴力破解,最常见的就是SQL注入。SQL注入可以在SQLNuke——mysql注入loadfileFuzz工具看到如何利用,而本篇文章的重点是利用MySQL隐形的类型转换绕过WAF的检测。

2013-04-19 13:20:14

Linux安全漏洞绕过Spectre补丁
研究人员在Linux中发现了2个安全漏洞,利用该漏洞可以绕过Spectre补丁。

2021-04-04 22:48:20

Linux网络安全、漏洞
Windows内核惊现高危漏洞 绕过UAC
11月29日消息,据国外媒体报道,微软日前证实,他们正在调查一个关于Windows内核的0day漏洞。该漏洞属于权限提升漏洞,攻击者可利用该漏洞跳过微软UAC(用户帐户控制)安全功能。

2010-11-29 14:05:29

指纹传感器漏洞绕过 Windows Hello 登录
这些漏洞是由硬件和软件产品安全研究公司BlackwingIntelligence的研究人员发现的,他们从这些设备中嵌入的Goodix、Synaptics和ELAN的指纹传感器中发现了这些漏洞。

2023-11-23 14:37:29

本地文件包含漏洞检测工具:Burp国产插件LFI scanner
LFIscannerchecks是为了我自己为burp轻量级扫描器做的一个检测LFI漏洞插件,因为burp没有一个有效的检测LFI功能的,只能自己写一个插件了。

2015-08-17 15:10:11

漏洞检测安全工具LFI scanner
百锐截获绕过主流主动防御超强后门程序
百锐信息安全实验室近日捕获一个新型后门程序backdoor.w32.alg.sy,该病毒使用非常特殊的方式注入系统的alg.exe进程,绕过了绝大部分主动防御程序及防火墙。

2011-09-29 20:52:51

百锐防御信息安全
微软发布新脚本,修复 WinRE BitLocker 绕过漏洞
微软今天发布的新脚本有2个版本,用户可以根据当前所使用的系统版本来决定使用哪个。

2023-03-17 14:59:24

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服