黑基网 首页 资讯 IT业界 查看内容

WAFNinja:灵活的WAF自动化Fuzz工具

2016-12-2 10:42| 投稿: son850318

摘要: WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。工具简介这款工具里有许多的攻击payload和用于fuzz的字符串,都储 ...

WAFNinja是一款用python写的命令行工具,它可以帮助渗透测试人员免去部分手动输入的烦恼。此外,WAFNinja强大的扩展性,在团队协作中显得非常适用。

工具简介

这款工具里有许多的攻击payload和用于fuzz的字符串,都储存在附带的sqlite数据库文件里。另外,WAFNinja支持HTTP的GET和POST请求,也支持带上cookie。当然,必要的时候,我们还可以设置代理。

大致用法:

wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ...

下面给出部分案例:

fuzz:

python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ"  -c "phpsessid=value" -t xss -o output.html 

bypass:

python wafninja.py bypass -u "http://www.target.com/index.php"  -p "Name=PAYLOAD&Submit=Submit" -c "phpsessid=value" -t xss -o output.html

插入型fuzz:

python wafninja.py insert-fuzz -i select -e select -t sql

参数大致介绍

fuzz                检查能绕过WAF的关键词和符号.

bypass           用数据库中payload进行批量测试

insert-fuzz       添加需要fuzz的字符串

insert-bypass     为bypass的字典添加payload

set-db              添加另外一个数据库文件,可分享给其他人

-h, –help           显示帮助信息

-v, –version        显示程序版本号

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部