NoWAFPls插件:通过一键插入垃圾数据过WAF

文章预览

项目介绍 大多数web应用程序防火墙(waf)在发送请求正文时，对它们可以处理的数据量有限制。这意味着对于包含请求体(即POST、PUT、PATCH等)的HTTP请求，通常可以通过简单地添加垃圾数据来绕过WAF。 当请求中填充了垃圾数据时，WAF将处理X kb的请求并进行分析，但是超出WAF限制的所有数据都将直接通过 nowafpls是一个简单的Burp插件，它会将这些垃圾数据插入到repeater选项卡中的HTTP请求中，您可以从预设数量的垃圾数据中选择想要插入的数据，也可以通过选择“自定义”选项插入任意数量的垃圾数据。 这个工具只有80行左右的Python代码，非常简单，但适用于大多数WAFs WAF限制 WAF Provider Maximum Request Body Inspection Size Limit Cloudflare 128 KB for ruleset engine, up to 500 MB for enterprise AWS WAF 8 KB - 64 KB (configurable depending on service) Akamai 8 KB - 128 KB Azure WAF 128 KB Fortiweb by Fortinet 100 ………………………………