WAF-A-MoLE:针对Web应用防火墙的基于变异的模糊测试工具

安全 应用安全
WAF-A-MoLE是一款功能强大的基于变异的模糊测试工具,该工具可以帮助广大研究人员对基于ML的Web应用防火墙进行模糊测试。

关于WAF-A-MoLE

WAF-A-MoLE是一款功能强大的基于变异的模糊测试工具,该工具可以帮助广大研究人员对基于ML的Web应用防火墙进行模糊测试。

只需提供一条SQL注入查询语句,该工具便能够尝试生成一个可绕过目标WAF的语义不变的变种查询。我们可以使用WAF-A-MoLE来探索解决方案空间,找到目标分类器未发现的危险“盲点”,并且可以使用此工具评估产品的稳健性。

[[419515]]

工具体系架构


WAF-A-MoLE可以获取初始Payload并将其插入Payload池中,Payload池将负责管理一个Payload优先级队列。

在每次迭代过程中,Payload池的头部会被传递给模糊。在模糊器中,通过应用一个可用的变异操作符,对Payload池进行随机变异。

变异操作

变异操作都是语义保留的,它们利用了SQL语言(在这个版本中是MySQL)的高表达能力。

以下是当前版本WAF-A-MoLE中可用的变异操作:

工具要求

工具下载&安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/AvalZ/WAF-A-MoLE.git 

然后运行下列命令完成依赖组件的安装:

  1. pip install -r requirements.txt 

工具使用

(1) wafamole --help

  1. Usage: wafamole [OPTIONS] COMMAND [ARGS]... 
  2.  
  3.   
  4.  
  5. Options: 
  6.  
  7.   --help  Show this message and exit. 
  8.  
  9.   
  10.  
  11. Commands: 
  12.  
  13.   evade  Launch WAF-A-MoLE against a target classifier. 

(2) wafamole evade --help

  1. Usage: wafamole evade [OPTIONS] MODEL_PATH PAYLOAD 
  2.  
  3.   
  4.  
  5.   Launch WAF-A-MoLE against a target classifier. 
  6.  
  7.   
  8.  
  9. Options: 
  10.  
  11.   -T, --model-type TEXT     Type of classifier to load 
  12.  
  13.   -t, --timeout INTEGER     Timeout when evading the model 
  14.  
  15.   -r, --max-rounds INTEGER  Maximum number of fuzzing rounds 
  16.  
  17.   -s, --round-size INTEGER  Fuzzing step size for each round (parallel fuzzing 
  18.  
  19.                             steps) 
  20.  
  21.   --threshold FLOAT         Classification threshold of the target WAF [0.5] 
  22.  
  23.   --random-engine TEXT      Use random transformations instead of evolution 
  24.  
  25.                             engine. Set the number of trials 
  26.  
  27.   --output-path TEXT        Location were to save the results of the random 
  28.  
  29.                             engine. NOT USED WITH REGULAR EVOLUTION ENGINE 
  30.  
  31.   --help                    Show this message and exit. 

性能评估


项目地址

WAF-A-MoLE:【GitHub传送门

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-06-25 18:35:30

Web应用防火墙

2010-12-13 09:21:00

2011-03-25 11:18:51

2010-07-20 20:45:54

2012-12-03 11:16:50

2011-03-23 09:31:46

2010-10-25 12:07:51

2010-08-30 10:18:24

2021-04-21 11:08:49

数字化

2011-03-15 10:32:05

2010-08-30 11:28:13

2010-05-24 17:49:56

2011-05-10 09:17:01

2011-02-17 18:30:25

2011-02-15 18:38:49

2010-09-14 17:20:30

2011-03-25 11:06:46

2010-07-07 20:06:53

2010-07-12 11:33:52

2020-05-28 09:51:11

Web安全WAF漏洞
点赞
收藏

51CTO技术栈公众号