今天看啥  ›  专栏  ›  七芒星实验室

NoWAFPls插件:通过一键插入垃圾数据过WAF

七芒星实验室  · 公众号  ·  · 2024-07-18 07:00

文章预览

项目介绍 大多数web应用程序防火墙(waf)在发送请求正文时,对它们可以处理的数据量有限制。这意味着对于包含请求体(即POST、PUT、PATCH等)的HTTP请求,通常可以通过简单地添加垃圾数据来绕过WAF。 当请求中填充了垃圾数据时,WAF将处理X kb的请求并进行分析,但是超出WAF限制的所有数据都将直接通过 nowafpls是一个简单的Burp插件,它会将这些垃圾数据插入到repeater选项卡中的HTTP请求中,您可以从预设数量的垃圾数据中选择想要插入的数据,也可以通过选择“自定义”选项插入任意数量的垃圾数据。 这个工具只有80行左右的Python代码,非常简单,但适用于大多数WAFs WAF限制 WAF Provider Maximum Request Body Inspection Size Limit Cloudflare 128 KB for ruleset engine, up to 500 MB for enterprise AWS WAF 8 KB - 64 KB (configurable depending on service) Akamai 8 KB - 128 KB Azure WAF 128 KB Fortiweb by Fortinet 100 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览