Evite el cortafuegos de aplicaciones web con WAFNinja

 
 WAFNinja es una herramienta CLI python que ayuda a los probadores de penetración a eludir Web Application Firewall mediante la automatización de los pasos necesarios para eludir la validación de
entrada. WAFNinja admite conexiones HTTP, solicitudes GET y POST y el uso de cookies para acceder a páginas restringidas a usuarios autenticados. También es compatible con la interceptación de proxy, por lo que sí MITM para usted.

La herramienta fue creada con el objetivo de ser fácilmente extensible, simple de usar y utilizable en un entorno de equipo.
Métodos web compatibles:

• HTTP connections
• GET requests
• POST requests
• Using Cookies (for pages behind auth)
• Intercepting proxy

Usando WAFNinja para WAF Bypass

 

wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ...

 Más ejemplos
 fuzzing

python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" 
-c "phpsessid=value" -t xss -o output.html

Bypass WAG

python wafninja.py bypass -u "http://www.target.com/index.php"  -p "Name=PAYLOAD&Submit=Submit"         
-c "phpsessid=value" -t xss -o output.html

Insert fuzz

python wafninja.py insert-fuzz -i select -e select -t sql 

Video demo

 Aquí un video completo de un taller que le enseñará cómo atacar una aplicación protegida por un WAF. El moderador describe las técnicas de desvío de WAF y ofrece un enfoque sistemático y práctico sobre cómo evitar los cortafuegos de aplicaciones web basados en estas técnicas. Este video presenta WAFNinja, una herramienta que ayuda a encontrar múltiples vulnerabilidades en los firewalls.