Ir al contenido principal

Evite el cortafuegos de aplicaciones web con WAFNinja

 Resultado de imagen para WAFNinja
 WAFNinja es una herramienta CLI python que ayuda a los probadores de penetración a eludir Web Application Firewall mediante la automatización de los pasos necesarios para eludir la validación de
entrada. WAFNinja admite conexiones HTTP, solicitudes GET y POST y el uso de cookies para acceder a páginas restringidas a usuarios autenticados. También es compatible con la interceptación de proxy, por lo que sí MITM para usted.

La herramienta fue creada con el objetivo de ser fácilmente extensible, simple de usar y utilizable en un entorno de equipo.
Métodos web compatibles:
  • HTTP connections
  • GET requests
  • POST requests
  • Using Cookies (for pages behind auth)
  • Intercepting proxy

Usando WAFNinja para WAF Bypass
 
wafninja.py [-h] [-v] {fuzz, bypass, insert-fuzz, insert-bypass, set-db} ...
 Más ejemplos
 fuzzing
python wafninja.py fuzz -u "http://www.target.com/index.php?id=FUZZ" 
-c "phpsessid=value" -t xss -o output.html

Bypass WAG

python wafninja.py bypass -u "http://www.target.com/index.php"  -p "Name=PAYLOAD&Submit=Submit"         
-c "phpsessid=value" -t xss -o output.html

Insert fuzz

python wafninja.py insert-fuzz -i select -e select -t sql

Video demo

 Aquí un video completo de un taller que le enseñará cómo atacar una aplicación protegida por un WAF. El moderador describe las técnicas de desvío de WAF y ofrece un enfoque sistemático y práctico sobre cómo evitar los cortafuegos de aplicaciones web basados en estas técnicas. Este video presenta WAFNinja, una herramienta que ayuda a encontrar múltiples vulnerabilidades en los firewalls.



















Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Gestión de Proyectos: 5 tareas clave para dirigir la fase de ejecución

Independientemente del enfoque de gestión de proyectos adoptado, bien sea el predictivo tradicional, o los nuevos enfoques ágiles, el llevar a feliz término un proyecto implica más que hacer una buena planificación y medición de los avances. En este artículo exploramos algunas tareas clave que deben convertirse en hábitos para el Jefe de Proyectos durante la fase de ejecución, abarcando aspectos como asegurar que todas las partes tengan el mismo entendimiento, guiar y apoyar al equipo, eliminación de impedimentos, resolución rápida de problemas, saber reconocer las señales de alerta y tomar acciones en función a ellas.
Publicar un comentario
Leer más

Testing de aceptación automatizado con selenium

La comunidad de ingeniería del software, está dando cada vez más importancia a las metodologías ágiles, y estas a su vez le dan un sitial de gran importancia al Software Testing de Aceptación Automatizado. Un ejemplo de esta situación es el “Desarrollo Guiado por Pruebas ( Test Driven Development )”, método en el que el código de programa es desarrollado de acuerdo a casos de prueba previamente definidos.
Publicar un comentario
Leer más

Crud con C# y SQL Server

  Para los que recién empiezan a desarrollar aplicaciones de escritorio, siempre tienen dudas de como realizar un CRUD ( Create, Read, Update y Delete ) de un registro, En esta oportunidad lo haremos con C# y SQL Server. Hay muchas formas de hacer un CRUD y con distintos  elementos windows forms. Lo importante es saber hacer un INSERT y luego procederemos con el UPDATE, DELETE y el SELEC para buscar un registro.   Crearemos el siguiente formulario con sus botones para cada acción del CRUD:   Usaremos los siguientes elementos:  Creamos la Base de Datos:  create database Productos;  go use Productos;  go create table postres (  id int not null identity,  nombre varchar(50) not null,  precio decimal(6,2),  stock float,  constraint pk_postres primary key(id) );   Ahora vamos con nuestro código. En los comentarios describo lo que hago en cada bloque de código:      // Instancio las Directivas. usin...
Publicar un comentario
Leer más