WAF测试

于 2025-02-25 15:10:12 发布
阅读量406 收藏 4
点赞数 3
CC 4.0 BY-SA版权
文章标签: 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shinyhuang_/article/details/145853054

一、WAF测试工具

1.1 Gotestwaf

下载地址:https://github.com/wallarm/gotestwaf可通过Docker部署快速搭建。

描述:GoTestWAF 是一种用于 API 和 OWASP 攻击模拟的工具,支持广泛的 API 协议,包括 REST、GraphQL、gRPC、SOAP、XMLRPC 等。

它旨在评估 Web 应用程序安全解决方案,例如 API 安全代理、Web 应用程序防火墙、 IPS、API 网关等。

1.2 BlazeHTTP

下载地址:https://github.com/chaitin/blazehttp

描述:BlazeHTTP 是一款简单易用的 WAF 防护效果测试工具。

1.3 OWASP ZAP

下载地址:https://github.com/zaproxy/zaproxy

描述:OWASP ZAP(Zed Attack Proxy)是一个由OWASP(开放网络应用安全项目)提供的安全测试工具,用于发现Web应用中的安全漏洞,包含多种安全测试策略和插件,可以系统地评估WAF的规则集。

二、使用教程

2.1 Gotestwaf使用教程

通过访问下载链接https://github.com/wallarm/gotestwaf有详细说明,这里通过Dockers拉取镜像

docker pull wallarm/gotestwaf

docker run --rm --network="host" -v ${PWD}/reports:/app/reports wallarm/gotestwaf --url=https://www.test.com  --noEmailReport --blockStatusCodes=405

需要注意这里目录reports是在当前目录下创建的,需要docker有写入权限,也可以修改成自己想要的目录并使用chmod命令赋予文件夹权限,我这里拦截状态码为405,默认是403,需添加选项“--blockStatusCodes=405”

跑完会生成pdf报告

2.2 BlazeHTTP使用教程

通过链接https://github.com/chaitin/blazehttp下载对应的版本安装,直接运行即可使用。

具体信息在readme文档中有说明

运行结果

2.3 OWASP ZAP使用教程

这个软件可以算漏洞扫描检测软件,与前两款转测WAF不同,有对应的检测数据。

通过下载地址:https://github.com/zaproxy/zaproxy下载对应系统版本即可

Kali新版已经不自带OWASP ZAP软件,这里通过kali下载

更新一下软件包

apt-get upgrade

下载

apt-get install zaproxy

a11aron
关注
WAF检测率及误报测试工具Gotestwaf
colgcolg的博客
01-02 1万+
WAF检测率 误报率测试工具
waf测试工具
juewuer的博客
12-12 2346
浏览器 (win: chrome, Edge, IE11……) Curl (Linux) Wrk (linux, 七层发包工具) ab (linux, 七层发包工具) Sqlmap (渗透测试) loic – ddos BurpSuit(社区版,商业版) Acunetix(win, Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱...
waf测试
qq_38312411的博客
09-29 1784
waf
WAF-bypass:一款功能强大的Web应用防火墙安全测试工具
Innocence_0的博客
09-11 1300
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2677
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
渗透测试工具篇之网站waf识别工具wafw00f安装详细教程
sha1_mi的博客
06-24 1066
渗透测试工具篇之网站waf识别工具wafw00f安装详细教程
ftw:测试WAF的框架(FTW!)
05-03
WAF测试框架(FTW) 目的 该项目是由ModSecurity和Fastly的研究人员创建的,旨在为WAF规则提供严格的测试。 它使用OWASP Core Ruleset V3作为基线来测试WAF上的规则。 规则集中的每个规则都加载到YAML文件中,该文件...
NSS Labs WAF测试方法v6.2解析
NSS Labs的WAF测试方法论6.2是一个全面的评估工具,它帮助用户了解不同WAF产品的优劣,从而做出最佳的安全决策。通过深入理解这些测试指标和方法,企业可以更好地保护其Web应用程序免受不断演变的网络安全威胁。
Go版本的WAF测试框架:go-ftw简介与应用
- 由于框架易于部署,用户可以快速开始WAF测试,而无需复杂的配置过程。 2. **CI/CD友好性**: - go-ftw的设计使其非常适合集成到持续集成和持续部署(CI/CD)流程中。 - 它可以方便地与现有的CI/CD工具链集成,...
2024年Go最新使用Gotestwaf测试WAF检测能力,准备Golang面试
2401_84925152的博客
05-11 1167
由于这是一个YAML字符串,因此你还可以使用二进制编码,具体请参考https://yaml.org/type/binary.html。运行命令之后,你将会在reports文件夹下查看到waf-test-report-.pdf报告文件,你也可以将其映射到容器中的/go/src/gotestwaf/reports处。最新版本的Gotestwaf可以通过DockerHub库直接获取:https://hub.docker.com/r/wallarm/gotestwaf
什么是WAF防护?
热门推荐
ying_yingying的博客
02-04 1万+
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。     SQL注入攻击(SQL Injection),          简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件
Go Test WAF基础
qq_62392791的博客
07-12 1083
GoTest WAF是一个用于API和OWASP攻击模拟的工具,支持广泛的API协议,包括REST、GraphQL、gRPC、WebSockets、SOAP、XMLRPC和其他协议。它旨在评估web应用程序安全解决方案,如API安全代理、web应用程序防火墙、IPS、API网关等。原理GoTestWAF使用放置在HTTP请求不同部分的编码有效载荷生成恶意请求:其正文、标头、URL参数等。生成的请求将发送到GoTestWAF启动期间指定的应用程序安全解决方案URL。
waf识别工具搭建
san3144393495的博客
04-20 342
如果报错找不到文件,可以找到需要的python3的目录然后按住拉到命令提示符上来就在这段代码的后面然后就剋以啦,配置好环境后,在文件夹里面创建一个文本文档 把格式换成cmd.bat 之后。输入py -3而不是python的原因是因为我这个主机有两个python,一个是2一个是3需要靠py -3来识别我用3还是2,所有输入py -3来使用python3.之后。waf,就是一个墙,我们要绕过他才能做漏洞分析,要知道他们的原理去分析,如果不会只能在网上公开的去翻墙,但是waf一更新就不行了,
开源WAF--Safeline(雷池)测试手册
m0_60981735的博客
10-21 4107
雷池开源Waf可以抵御市面上大多数的Web攻击,本文从安装搭建使用做了详细的介绍
Waf 绕过手法测试
2401_84466359的博客
06-16 1330
由上到下,waf的检测细腻度依次降低网络层WAF:先拦截流量,进行检测后再转发给应用层WAF:先经过apache/nginx解析后再交给php处理云 WAF(CDN+WAF):简单的看成CDN加上软件WAF的结合体,既可以抗住DDos攻击,也可以过滤出部分简单的Payload攻击代码,甚至对流量也有一定的清洗作用自定义WAF(自己写的一些规则)在系统后台内置一项安全功能以便管理者使用。
Web--WAF检测工具
zhaji001
10-18 7112
WAF waf是一个web应用的保护装置,入侵检测系统IDS,入侵阻止系统IPS. nmap nmap -p 80 --script http-waf-detect.nse www.baidu.com Nmap scan report for www.baidu.com (61.135.169.125) Host is up (0.0042s latency). Other address...
渗透测试 | SQL注入中的WAF绕过,黑客技术零基础入门到精通实战教程!
最新发布
qq_41314882的博客
01-17 1322
WAF(Web Application Firewall)即网络应用防火墙,是一种专门为了保护网络应用(如网站和web服务)而设计的防火墙。它的主要任务是过滤、监控和阻止恶意的网络流量和攻击尝试,从而保护web应用免受各种在线威胁,例如SQL注入、跨站脚本(XSS)攻击、文件包含攻击和其它形式的攻击。在当今网络安全的复杂环境中,Web应用防火墙(WAF)作为防御工具,提供了重要的第一道防线,旨在抵御各种在线威胁,如SQL注入和跨站脚本攻击。
WAF-A-MoLE:智能Web应用防火墙模糊测试利器
gitblog_00028的博客
06-11 430
WAF-A-MoLE:智能Web应用防火墙模糊测试利器 WAF-A-MoLEA guided mutation-based fuzzer for ML-based Web Application Firewalls项目地址:https://gitcode.com/gh_mirrors/wa/WAF-A-MoLE 1、项目介绍 WAF-A-MoLE是一个灵感源于AFL并基于FuzzingBook的...
WAF绕过总结+工具介绍
kali_Ma的博客
09-24 1万+
什么是WAF Waf是web应用防火墙( Web Application Firewa‖l)的简称,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。waf属于检测型及纠正型防御控制措施。waf分为硬件waf、软件waf( ModSecurity)、代码级wafWAF的原理 waf对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值