工具项目
BurpSuite明动插件
资产安全巡检平台项目
Nuclei漏扫图形化工具
Nuclei POC辅助编写
分布式资产测绘监控
POC漏检模板管理工具
POC管理与漏检工具
Java幽灵比特位绕过神器
一键扒光虚拟机所有密码
Java内存马生成网页版
263+上传漏检绕过工具
ID注册查询社工利器
Linux后渗透利用神器
全能攻防协议连接神器
聚合多源情报推送监控
应用敏感信息提取神器
分布式资产扫描平台
交互式载荷生成平台
Java审计的瑞士军刀
容器镜像集群扫描器
渗透命令全速查平台
AI驱动日志安全分析系统
AI流量抓包解密利器
BurpSuite26.4专业稳定版
小程序一键反编译带挖掘
渗透测试引导工具箱
一键提取加载分析JS插件
DLL代理与侧载生成器
K8s攻击路径测绘引擎
JS安全分析提取工具
蓝队分析研判工具箱
内存取证可视化工具
小程序安全调试工具
敏感信息提取扫描神器
云安全AK/SK泄露利用工具
Java反序列化GUI工具
HackingTool终端工具箱
可视化未授权访问漏测工具
轻量化红队渗透工具箱
WX小程序安全审计Skill
C#安全内网渗透工具集
JS只能解密渗透测试框架
Linux本地提权通杀项目
自动化信息泄露侦察工具
用户账户调查情报工具
基于API探测路径BP插件
红队自动化巡航扫描框架
OpenArk响应逆向工具箱
自动化泄露资产测绘工具
API接口自动化测试工具
网络设备基线排查工具
LLM大模型红队测试框架
JX逆向发调试浏览器插件
反蜜罐反溯源浏览器插件
DudeSuite渗透测试工具
Yakit增加AI自动FUZZ
安全渗透测试工具箱
Linux本地提权集合版
Python逆向工程集成工具
AI渗透测试蜂群项目
免杀致盲底层驱动BYOVD
一键挖掘敏感信息泄露
Jeecg综合漏洞利用工具
内网扫描服务探测工具
BP短信辅助绕过插件
Java内存马检测工具
Burp/Yakit平替抓包项目
WIN系统红队Rootkit项目
WIN系统红队Rootkit项目2
AI大模型设备安全基线排查
网络安全扫描分析平台
桌面化安全测试工具集
K8s综合渗透测试工具
Chrome扩展页面资产梳理
Shiro漏洞利用增强版
端口进程应急管理工具
自动化信息泄露侦察工具
渗透测试利器安全平台
WAF检测与绕过工具
Skills网络安全技能库
小迪安全知识库
-
+
首页
WAF检测与绕过工具
WAF检测与绕过工具
# WAFBypass - 高级Web应用防火墙检测与绕过工具 项目地址:https://github.com/hnytgl/wafbypass [](https://github.com/hnytgl/wafbypass#wafbypass---%E9%AB%98%E7%BA%A7web%E5%BA%94%E7%94%A8%E9%98%B2%E7%81%AB%E5%A2%99%E6%A3%80%E6%B5%8B%E4%B8%8E%E7%BB%95%E8%BF%87%E5%B7%A5%E5%85%B7) [](https://www.gnu.org/licenses/gpl-3.0) [](https://www.python.org/) > 攻击即防御 —— 了解你的敌人,理解你的目标 **WAFBypass** 是一款高级Web应用防火墙(WAF)检测与绕过工具,旨在回答一个问题:"目标真的有WAF防护吗?" 它能够检测目标Web应用是否受到防火墙保护,并自动尝试寻找有效的绕过方法。 本项目在原 WhatWaf 的基础上进行了全面升级,新增了大量WAF检测插件、绕过脚本,并对核心引擎进行了现代化改造。 ## 功能特性 [](https://github.com/hnytgl/wafbypass#%E5%8A%9F%E8%83%BD%E7%89%B9%E6%80%A7) * **WAF检测**:支持检测 **112+** 种Web应用防火墙和防护系统 * **自动绕过**:内置 **61** 种绕过脚本(Tamper Scripts) * **多种输入方式**:支持单URL、批量URL列表、Burp Suite导出文件、Googler JSON文件 * **多种输出格式**:支持 JSON、YAML、CSV 格式化输出 * **数据库缓存**:自动缓存检测结果,避免重复扫描 * **代理支持**:支持 HTTP/HTTPS/SOCKS 代理和 Tor 网络 * **多线程扫描**:支持并发请求,提高扫描效率 * **自定义Payload**:支持自定义攻击载荷 * **指纹识别**:支持保存和导出WAF指纹 * **Web服务器识别**:自动识别后端Web服务器类型 * **POST请求支持**:支持GET和POST两种请求方式 * **流量记录**:支持将HTTP请求流量保存到文件 * **HTML报告**:生成专业级HTML渗透测试报告 * **Payload分类**:内置SQLi/XSS/XXE/SSTI/LFI/CMDi 6类攻击载荷库 * **配置文件**:支持YAML配置文件,一键加载扫描设置 | 类别 | 防火墙 | |---------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | 云服务商 | CloudFlare, AWS WAF v2, Azure WAF, GCP Cloud Armor, Tencent Cloud WAF, Huawei Cloud WAF, Alibaba Cloud WAF | | CDN/WAF | Akamai, CloudFront, Fastly, EdgeCast, Incapsula, Sucuri, StackPath | | 企业级 | F5 BIG-IP/ASM, Fortinet FortiWeb, Citrix NetScaler, Barracuda, Radware, Imperva | | 开源方案 | ModSecurity, NAXSI, OpenResty WAF, Shadow Daemon, Lua Resty WAF | | 国内厂商 | 安全狗(SafeDog), 阿里云盾, 百度云加速, 创宇盾, 玄武盾, 安恒明御(DBapp), 深信服(Sangfor), 绿盟(NSFOCUS), 知道创宇(KnownSec), 奇安信(Qianxin), 山石(Hillstone), 启明星辰(Venustech), 天融信(TopSec), 火山引擎(Volcengine), 腾讯云WAF, 华为云WAF | | 其他 | Wordfence, Wallarm, Reblaze, Signal Sciences, Cloudbric | | 类型 | 脚本示例 | |-----------|----------------------------------------------------------| | 编码转换 | URL编码、双重/三重URL编码、Base64编码、Hex编码、HTML实体编码 | | 字符混淆 | 大小写随机变换、Unicode规范化、UTF-8过长编码、逆序编码 | | 空白字符 | 空格替换(Tab/Comment/+/NULL)、随机空白字符、Chunked传输编码 | | SQL绕过 | SQL注释混淆、双SQL注释、数值操作转换、关键字拆分、参数碎片化 | | XSS绕过 | HTML注释混淆、XSS向量变异、Script标签拆分 | | HTTP层面 | HTTP参数污染(HPP)、CRLF注入、方法篡改、Content-Type操控 | | Payload分片 | 智能参数分片、HPP多策略、Multipart表单分片、SQL注释分片、管道化请求、NULL字节分片、编码链分片 | | 高级技巧 | JSON/XML编码、缓冲区溢出填充、嵌套编码、随机垃圾字符 |
xiaodi
2026年6月11日 13:36
5
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)