WAFNinja:灵活的WAF自动化Fuzz工具

网络 自动化
WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。

WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。

工具简介

这款工具里有许多的攻击payload和用于fuzz的字符串,都储存在附带的sqlite数据库文件里。另外,WAFNinja支持HTTP的GET和POST请求,也支持带上cookie。当然,必要的时候,我们还可以设置代理。

大致用法:

  1. wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ... 

下面给出部分案例:

fuzz:

  1. python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" -c "phpsessid=value" -t xss -o output.html 

bypass:

  1. python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" 
  2.  -c "phpsessid=value" -t xss -o output.html 

插入型fuzz:

  1. python wafninja.py insert-fuzz -i select -e select -t sql 

参数大致介绍

fuzz 检查能绕过WAF的关键词和符号.

bypass 用数据库中payload进行批量测试

insert-fuzz 添加需要fuzz的字符串

insert-bypass 为bypass的字典添加payload

set-db 添加另外一个数据库文件,可分享给其他人

-h, –help 显示帮助信息

-v, –version 显示程序版本号

责任编辑:武晓燕 来源: FreeBuf
相关推荐

2017-03-03 09:10:09

2013-07-02 10:45:38

2020-12-01 07:01:41

CSS工具重构

2017-12-17 21:58:18

2014-09-22 11:24:18

运维

2012-12-24 22:54:31

2014-11-12 09:24:00

2011-11-18 09:11:21

Web

2022-02-17 17:37:17

超级自动化人工智能AI

2016-04-12 10:18:19

代码审计自动化代码审计工具

2010-12-06 09:59:58

2020-04-29 11:28:54

智能自动化机器人流程自动化AI

2022-02-18 13:12:49

人工智能自动化技术

2011-05-30 17:50:23

分布式测试

2011-05-31 18:17:07

分布式测试

2022-07-04 09:00:36

Playwright自动化测试工具

2015-10-09 13:14:10

clip自动化运维工具

2021-09-30 09:00:00

漏洞安全工具

2021-09-07 09:00:00

开发测试工具

2024-04-03 15:27:31

Python接口自动化开发
点赞
收藏

51CTO技术栈公众号