WAF

关注网络安全,网络安全博客

CaidaoMitmProxy:基于HTTP代理中转菜刀过WAF

CaidaoMitmProxy:基于HTTP代理中转菜刀过WAF

CaidaoMitmProxy基于HTTP代理中转中国菜刀过WAF,基于菜刀20160622版本修改和测试。理论上是支持低版本菜刀。本人没测试希望大家来帮忙测试下。安装pip[3] install pydespip[3] install mitmproxy...

利用PHP反序列化免杀D盾、安全狗等WAF软件

利用PHP反序列化免杀D盾、安全狗等WAF软件

PHP反序列化介绍在PHP进行反序列化时,会将序列化中的变量传入类中,并且调用__destuct等魔法函数。巧妙应用可达到免杀D盾,过安全狗等WAF软件的效果。TestCode1:<?phpclass A{ public $na...

ngx_lua_waf:一个基于OpenResty(Nginx+Lua)的web应用防火墙

ngx_lua_waf:一个基于OpenResty(Nginx+Lua)的web应用防火墙

ngx_lua_waf web应用防火墙ngx_lua_waf是一个基于OpenResty(Nginx+Lua)的web应用防火墙。而ngx_lua是一种可以把lua语言嵌入nginx中,使其支持lua来快速开发基于nginx下的业务逻辑的技术。实现功能...

Vxscan:一款用于渗透测试的多功能扫描工具

Vxscan:一款用于渗透测试的多功能扫描工具

Vxscan介绍python3写的综合扫描工具,主要用来敏感文件探测(目录扫描与js泄露接口),WAF/CDN识别,端口扫描,指纹/服务识别,操作系统识别,弱口令探测,POC扫描,SQL注入,绕过CDN,查询旁站等功能,主要用...

XSStrike – 可识别并绕过WAF的XSS扫描工具

XSStrike – 可识别并绕过WAF的XSS扫描工具

XSStrike 高级XSS检测套件XSStrike是一个XSS脚本探测套件,配备了4个手写解析器,一个智能payloads生成器,一个强大的引擎和一个令人难以置信的快速爬虫工具。和xwaf有相似之处,但又有明显的区别。...

TheFatRat – 跨平台反弹后门Shell生成神器

TheFatRat – 跨平台反弹后门Shell生成神器

TheFatRat介绍TheFatRat是一个可以生成跨平台反弹shell后门的工具,如exe、apk、macho、php、py、sh等。 编译后的恶意脚本可以在 windows,android,mac 上执行。同时用TheFatRat创建的后门能够绕过大多...

xwaf – 自动绕过waf工具

xwaf – 自动绕过waf工具

xwafxwaf是一个python3写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,可自动暴破过waf。代码流程图功能特点xwaf支持记忆,运行中断后下次继续运行时会在...

wafw00f – WEB防火墙(WAF)探测工具

wafw00f – WEB防火墙(WAF)探测工具 置顶

WAFW00FWAFW00F是一个Web应用防火墙(WAF)指纹识别的工具。WAFW00F工作原理是首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符如果不成功,它将发送大量(潜在的恶意) HTTP 请...

黑客是怎么绕过waf的

前言 今年CNCERT年会上面seay大牛的PPT,详细的分析了WAF的现状,WAF处理数据包的原理和过程以及WAF绕过方法。 WAF的现状: 1.太多数WAF能够拦截较为普通的WE...