转载

WAFNinja：灵活的WAF自动化Fuzz工具

WAFNinja是一款用python写的命令行工具，它可以帮助渗透测试人员免去部分手动输入的烦恼。此外，WAFNinja强大的扩展性，在团队协作中显得非常适用。

工具简介

这款工具里有许多的攻击payload和用于fuzz的字符串，都储存在附带的sqlite数据库文件里。另外，WAFNinja支持HTTP的GET和POST请求，也支持带上cookie。当然，必要的时候，我们还可以设置代理。

大致用法：

wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ...

fuzz：

python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" -c "phpsessid=value" -t xss -o output.html

bypass：

python wafninja.py bypass -u "http://www.target.com/index.php" -p "Name=PAYLOAD&Submit=Submit" -c "phpsessid=value" -t xss -o output.html

插入型fuzz：

python wafninja.py insert-fuzz -i select -e select -t sql

fuzz 检查能绕过WAF的关键词和符号.

bypass 用数据库中payload进行批量测试

insert-fuzz 添加需要fuzz的字符串

insert-bypass 为bypass的字典添加payload

set-db 添加另外一个数据库文件，可分享给其他人

-h, –help 显示帮助信息

-v, –version 显示程序版本号

* 参考来源： Github ，FB小编dawner编译，转载请注明来自FreeBuf（FreeBuf.COM）

原文 http://www.freebuf.com/sectool/120816.html

正文到此结束

所属分类：编程技术

本文标签： 编译 sql 参数 PHP 数据库 value id tar Select IO HTML SQLite git CTO python 自动化 GitHub 关键词 db 数据 http 测试 UI src
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。