怎么用Gotestwaf测试你的WAF检测能力

这篇文章主要讲解了“怎么用Gotestwaf测试你的WAF检测能力”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“怎么用Gotestwaf测试你的WAF检测能力”吧！Gotestwaf，全称为Go Test WAF，该工具可以使用不同类型的攻击技术和绕过技术来测试你Web应用程序防火墙的检测能力。Gotestwaf是一个基于Go开发的开源项目，它实现了一种三步请求生成过程，可以对编码器和占位符的Payload进行相乘操作。假设你定义了2个Payload、3个编码器（Base64、JSON和URLencode）和1个占位符免费云主机域名（HTTP GET变量）。在这种情况下，Gotestwaf将在测试用例中发送2*3*1=6个请求。你可以发送的Payload字符串，支持比如说或其他更复杂的东西。当前版本的Gotestwaf还不支持类似宏这样的功能，但我们之后会添加相关支持。由于这是一个YAML字符串，因此你还可以使用二进制编码，具体请参考https://yaml.org/type/binary.html。数据编码器工具应适用于Payload，支持Base64和JSON Unicode编码（u0027代替’）等。占位符位于HTTP请求中，用于存放已编码的Payload。比如说URL参数、URI、POST表单参数或JSON POST主体。最新版本的Gotestwaf可以通过DockerHub库直接获取：https://hub.docker.com/r/wallarm/gotestwaf。我们可以直接使用下列命令将项目库拉取到本地：运行命令之后，你将会在reports文件夹下查看到waf-test-report-.pdf报告文件，你也可以将其映射到容器中的/go/src/gotestwaf/reports处。Gotestwaf支持在目前常见的操作系统平台上运行，包括Linux、Windows和macOS，我们可以直接在安装了Go环境的系统上进行源码编译和构建：首先，我们需要构建&运行ModSecurity CRS Docker镜像。我们可以使用下列命令自动拉取、构建和运行ModSecurity CRS Docker镜像：或者，你也可以手动配置参数并进行测试：你还可以选择PARANOIA等级来提升测试的安全等级，具体请参考https://coreruleset.org/faq/。接下来，我们需要使用下列命令来对ModSecurity CRS Docker镜像的安全性进行测试：或者，在Docker中手动执行：或者，使用下列命令手动运行测试（本地）：我们还可以通过wsURL和verbose参数来添加额外的WebSocket URL检测，其中会包含目标进程的详细信息：Gotestwaf的检测结果输出如下：Gotestwaf：https://github.com/wallarm/gotestwaf感谢各位的阅读，以上就是“怎么用Gotestwaf测试你的WAF检测能力”的内容了，经过本文的学习后，相信大家对怎么用Gotestwaf测试你的WAF检测能力这一问题有了更深刻的体会，具体使用情况还需要大家实践验证。这里是云编程开发博客，小编将为大家推送更多相关知识点的文章，欢迎关注！

相关推荐: 信息安全不可错过的30门实验

SEEDLabs是一套完整的免费云主机域名信息安全实验，涵盖本科信息安全教学中的大部分基本原理。项目组2002年由杜文亮教授创建，目前开发了30个实验，几百所大学已采用。实验楼翻译制作的SEEDLabs在线实验课永久免费并开源。SEEDLabs官网：http:…