waftester/waftester

# WAFtester 面向安全专业人员和企业的综合性 Web Application Firewall 测试平台。通过量化指标检测、指纹识别并评估 WAF 安全态势。 [](LICENSE) [](https://go.dev/) [](https://github.com/waftester/waftester/releases) [](https://www.npmjs.com/package/@waftester/cli) [](https://waftester.com) ## 概述 WAFtester 通过统一平台提供企业级 WAF 安全评估。与需要在检测、绕过和报告阶段之间进行手动关联的碎片化工具链不同，WAFtester 提供具有统计验证的端到端自动化测试。 ``` waf-tester auto -u https://target.com --smart ``` 此命令执行完整的安全评估：端点发现、WAF 厂商识别、最优绕过技术选择、2,800+ payload 测试以及量化报告生成。 ## WAFtester 解决的问题 现代安全团队在评估 WAF 有效性时面临三大关键挑战： **工具碎片化。** 传统评估需要串联多种工具（wafw00f、sqlmap、nuclei、自定义脚本），手动关联结果，并且需要丰富的专业知识来解读发现。 **缺乏量化指标。** 大多数工具报告二元的通过/失败结果。安全团队需要统计度量（误报率、F1 Score、MCC）来就 WAF 配置和厂商选择做出明智决策。 **WAF 无关测试。** 通用 payload 在配置良好的 WAF 面前浪费时间。有效的测试需要基于检测到的厂商和配置，选择针对特定 WAF 的绕过技术。 WAFtester 通过一个自动化整个评估生命周期的集成平台来应对这些挑战。 ## 核心能力 ### WAF 检测与指纹识别 使用 197 个厂商签名高置信度地识别 WAF 厂商。 ``` $ waf-tester vendor -u https://protected.example.com WAF Detection Results -------------------------------------------------------------------------- Vendor Cloudflare Confidence 98% Evidence cf-ray header, __cfduid cookie, 1020 error page Recommended tampers for Cloudflare: charunicodeencode, space2morecomment, randomcase ``` 检测涵盖主要的商业和开源 WAF，包括 Cloudflare、AWS WAF、Akamai、Imperva、Azure WAF、F5、Fortinet、ModSecurity、Barracuda、Sucuri、Radware、Citrix ADC、Palo Alto、Sophos 和 Wallarm。 ### 自动绕过发现 使用 70+ tamper 脚本发现 WAF 绕过技术，并根据检测到的厂商自动选择。 ``` $ waf-tester bypass -u https://target.com --smart --tamper-auto Bypass Discovery -------------------------------------------------------------------------- Payload Variants Tested 2,847 Blocked by WAF 2,728 (95.8%) Bypassed WAF 119 (4.2%) Top Bypass Chains: 1. charunicodeencode + space2morecomment (42 bypasses) 2. modsecurityversioned + randomcase (31 bypasses) 3. between + equaltolike (19 bypasses) ``` 变异引擎结合 49 个变异函数与基础 payload，生成覆盖编码、规避和注入位置变化的全面测试用例。 ### 具有统计指标的企业评估 生成具有行业标准统计度量的量化 WAF 评估。 ``` $ waf-tester assess -u https://target.com -fp -o assessment.json Enterprise WAF Assessment -------------------------------------------------------------------------- Metric Score --------------------------------- Detection Rate (TPR) 94.2% False Positive Rate 0.3% Precision 99.7% Recall 94.2% F1 Score 0.969 MCC 0.942 ``` 评估包括针对良性流量语料库（Leipzig corpus 集成）的测试，以测量误报率，从而实现数据驱动的 WAF 配置决策。 ### 多协议支持 原生支持 HTTP 之外的现代 API 协议。 ``` # GraphQL 内省和注入测试 waf-tester scan -u https://api.example.com/graphql -types graphql # gRPC 反射和消息模糊测试 waf-tester scan -u grpc://service:50051 -types grpc # SOAP/WSDL 枚举和 XXE 测试 waf-tester scan -u https://api.example.com/service.wsdl -types soap # WebSocket 消息注入 waf-tester scan -u wss://api.example.com/socket -types websocket ``` ### API 规范扫描 从 API 规范驱动安全扫描。WAFtester 解析您的规范，生成针对性的扫描计划，并使用具有模式感知的攻击测试每个端点。 ``` # 从 OpenAPI spec 扫描 waf-tester scan --spec openapi.yaml -u https://api.example.com # 包含环境变量的 Postman 集合 waf-tester auto --spec collection.json --env staging.json -u https://api.example.com # 来自浏览器 DevTools 的 HAR 记录 waf-tester scan --spec recording.har -u https://api.example.com # Dry-run 预览扫描计划 waf-tester scan --spec openapi.yaml -u https://api.example.com --dry-run # 与基线对比进行回归检测 waf-tester compare baseline.json current.json ``` 支持的格式：OpenAPI 3.x、Swagger 2.0、Postman Collection v2.x、HAR 1.2、GraphQL (introspection)、gRPC (reflection)、AsyncAPI 2.x。 完整参考请参阅 [docs/API-SPEC-SCANNING.md](docs/API-SPEC-SCANNING.md)。 ## 与现有工具的对比 ### 工作流整合 | 传统方法 | WAFtester 方法 | |---------------------|-------------------| | 运行 wafw00f 进行 WAF 检测 | 集成：197 个厂商签名 | | 手动选择 sqlmap tampers | 根据检测到的 WAF 从 70+ tampers 中自动选择 | | 为每个漏洞编写 nuclei 模板 | 包含 2,800+ payload，覆盖 50+ 类别 | | 手动解析输出并进行关联 | 带指标的统一 JSON/SARIF/HTML | | 针对 GraphQL、gRPC、WebSocket 使用独立工具 | 原生多协议支持 | ### 功能对比 | 能力 | sqlmap | nuclei | Burp Suite | WAFtester | |------------|--------|--------|------------|-----------| | WAF 感知的 tamper 选择 | 手动 | N/A | 手动 | 自动 | | 误报测量 | 否 | 否 | 有限 | 完整（FPR, precision） | | 统计指标（MCC, F1） | 否 | 否 | 否 | 是 | | 多协议（GraphQL, gRPC） | 否 | 有限 | 是 | 原生 | | API 规范驱动扫描 | 否 | 否 | 是 | 原生（7 种格式） | | 变异引擎 | 60 tampers | N/A | Intruder | 49 个变异器 x payloads | | CI/CD 原生（SARIF, streaming） | 否 | 是 | 否 | 是 | ## 安装 ### npm / npx（推荐） 零依赖安装 — 自动下载正确的平台二进制文件。 ``` # 直接运行（无需安装） npx -y @waftester/cli scan -u https://target.com # 或全局安装 npm install -g @waftester/cli waf-tester version ``` 适用于 macOS、Linux 和 Windows（x64 和 arm64）。需要 Node.js >= 16。 ### Docker 多架构镜像（`linux/amd64`、`linux/arm64`） 已发布至 GHCR 和 Docker Hub。 ``` # 拉取最新镜像 docker pull ghcr.io/waftester/waftester:latest # 在端口 8080 上运行 MCP server docker run -p 8080:8080 ghcr.io/waftester/waftester # 直接运行扫描 docker run --rm ghcr.io/waftester/waftester scan -u https://example.com # Docker Compose (本地构建) docker compose up --build ``` 可用镜像标签： | 标签 | 描述 | |-----|-------------| | `latest` | 最新稳定版 | | `1.2.3` | 精确版本 | | `1.2`, `1` | 次版本/主版本别名 | | `edge` | 最新 `main` 分支构建 | | `sha-abc1234` | 特定提交 | 该镜像以非 root 用户运行于只读的 distroless 基础镜像上（约 5 MB）。有关 Docker Compose、Kubernetes 和环境变量配置，请参阅 [docs/INSTALLATION.md](docs/INSTALLATION.md#docker)。 ### 包管理器 ``` # macOS / Linux brew tap waftester/tap brew install waftester # Windows scoop bucket add waftester https://github.com/waftester/scoop-waftester scoop install waftester # Arch Linux (AUR) yay -S waftester-bin ``` ### 二进制发布 从 [releases 页面](https://github.com/waftester/waftester/releases)下载预构建的二进制文件。 详细的安装说明，请参阅 [docs/INSTALLATION.md](docs/INSTALLATION.md)。 ## 使用 ### 自动评估 `auto` 命令提供完整的自动化评估，包括发现、分析、测试和报告。 ``` # 具有 WAF-aware 优化的全自动评估 waf-tester auto -u https://example.com --smart # 根据检测到的 WAF 自动选择 tamper waf-tester auto -u https://example.com --smart --tamper-auto # 用于 CMS 和框架检测的服务特定预设 waf-tester auto -u https://example.com -service wordpress ``` ### 针对性扫描 `scan` 命令提供跨 50+ 攻击类别的针对性漏洞测试。 ``` # SQL 注入和 XSS 测试 waf-tester scan -u https://target.com -types sqli,xss # 所有攻击类别 waf-tester scan -u https://target.com -types all # 具有 WAF-aware tamper 选择 waf-tester scan -u https://target.com --smart --tamper-auto # 具有自定义 payload 和模板目录 waf-tester scan -u https://target.com --payloads ./custom-payloads --template-dir ./my-templates # 具有用于平台特定测试的服务预设 waf-tester auto -u https://sso.example.com -service authentik ``` ### WAF 情报 `tampers` 命令提供特定厂商的绕过建议和自动发现。 ``` # 显示针对特定 WAF 有效性排名的 tampers waf-tester tampers --for-waf=cloudflare # 自动发现哪些 tampers 可以绕过活动的 WAF waf-tester tampers --discover --target https://target.com # 加载自定义 .tengo 脚本 tampers waf-tester scan -u https://target.com --tamper-dir=./my-tampers ``` ## 输出格式与集成 WAFtester 支持多种输出格式，以便与安全工作流和 CI/CD 流水线集成。 ### 支持的格式 | 格式 | 用途 | 标志 | |--------|----------|------| | JSON | 自动化、API、脚本 | `-format json` | | JSONL | 流式处理、实时处理 | `-stream -json` | | SARIF | GitHub/GitLab Security、VS Code | `-format sarif` | | HTML | 面向利益相关者的报告 | `-format html` | | PDF | 执行报告 | `-format pdf` | | JUnit | CI/CD 测试框架 | `-format junit` | | CycloneDX | SBOM 漏洞交换 | `-format cyclonedx` | | XML | 旧版 SIEM/漏洞平台 | `--xml` | ### 企业集成 | 集成 | 格式 | 标志 | |------------|--------|------| | SonarQube | Generic Issue Import | `-format sonarqube` | | GitLab SAST | gl-sast-report.json | `-format gitlab-sast` | | DefectDojo | Findings import | `-format defectdojo` | | Elasticsearch | SIEM streaming | `--elasticsearch-url` | | GitHub Issues | 自动创建 issue | `--github-issues-token` | | Azure DevOps | 工作项创建 | `--ado-org`, `--ado-project`, `--ado-pat` | ### 实时告警 ``` # Slack 通知 waf-tester scan -u $TARGET --slack-webhook=$WEBHOOK_URL # Microsoft Teams 通知 waf-tester scan -u $TARGET --teams-webhook=$WEBHOOK_URL # PagerDuty 升级 waf-tester scan -u $TARGET --pagerduty-key=$ROUTING_KEY # Jira 工单创建 waf-tester scan -u $TARGET --jira-url=$JIRA_URL --jira-project=SEC --jira-email=$EMAIL --jira-token=$TOKEN # GitHub Issues 集成 waf-tester scan -u $TARGET --github-issues-token=$TOKEN --github-issues-owner=myorg --github-issues-repo=security-issues # Azure DevOps 工作项创建 waf-tester scan -u $TARGET --ado-org=myorg --ado-project=SecurityTests --ado-pat=$ADO_PAT # OpenTelemetry 追踪 waf-tester scan -u $TARGET --otel-endpoint=$OTEL_ENDPOINT ``` ## CI/CD 集成 ### GitHub Actions（推荐） ``` - uses: waftester/waftester-action@v1 with: target: https://app.example.com ``` 结果显示在 **Security → Code scanning** 中。有关所有选项，请参阅 [WAFtester Action](https://github.com/marketplace/actions/waftester-waf-security-testing)。 ### 替代方案：GitHub Actions 中的 CLI ``` - name: WAF Security Assessment run: | waf-tester scan -u ${{ env.TARGET_URL }} \ -format sarif -o results.sarif - name: Upload SARIF uses: github/codeql-action/upload-sarif@v3 with: sarif_file: results.sarif ``` ### 流水线质量门禁 ``` # 发现关键结果时流水线失败 waf-tester scan -u $TARGET -json | \ jq -e '[.vulnerabilities[] | select(.severity=="Critical")] | length == 0' # 提取指标用于仪表盘 waf-tester assess -u $TARGET -json | \ jq '{tpr: .metrics.detection_rate, fpr: .metrics.false_positive_rate, f1: .metrics.f1_score}' ``` 更多 CI/CD 示例（GitLab、Azure DevOps、Jenkins、CircleCI、Tekton），请参阅 [docs/EXAMPLES.md](docs/EXAMPLES.md#cicd-integration)。 ## MCP Server — AI Agent 集成 WAFtester 包含一个内置的 [Model Context Protocol](https://modelcontextprotocol.io/) (MCP) server，使 AI 助手（Claude、GPT、Copilot）和自动化平台（n8n、Langflow）能够以编程方式控制 WAFtester。 ### 为什么选择 MCP？ AI agent 无需解析 CLI 输出或构建自定义集成，而是通过带有类型化工具模式、进度通知和领域知识资源的结构化协议与 WAFtester 交互。该 server 指导 agent 进行最优工具选择和工作流编排。 ### 传输方式 | 传输 | 用途 | 命令 | |-----------|----------|---------| | Stdio | IDE 集成（VS Code、Claude Desktop、Cursor） | `waf-tester mcp` | | HTTP | 远程/Docker 部署、n8n、Web UI | `waf-tester mcp --http :8080` | HTTP 传输暴露： - `/mcp` — Streamable HTTP（2025-03-26 规范） - `/sse` — 针对 n8n 和旧版 MCP 客户端的旧版 SSE - `/health` — 容器编排器的就绪探针 所有端点均包含面向基于浏览器的客户端的 CORS headers。 ### 快速开始 ``` # Stdio 模式（用于 Claude Desktop, VS Code, Cursor） waf-tester mcp # HTTP 模式（用于 n8n, Docker, 远程访问） waf-tester mcp --http :8080 # Docker docker run -p 8080:8080 ghcr.io/waftester/waftester mcp --http :8080 ``` ### Claude Desktop 配置 添加到 `claude_desktop_config.json`： ``` { "mcpServers": { "waf-tester": { "command": "npx", "args": ["-y", "@waftester/cli", "mcp"] } } } ``` 或者，如果通过二进制下载安装： ``` { "mcpServers": { "waf-tester": { "command": "waf-tester", "args": ["mcp"] } } } ``` ### n8n 集成 1. 在 n8n 中添加一个 **MCP Client** 节点 2. 将传输设置为 **SSE Endpoint** 3. 输入 URL：`http://your-server:8080/sse` 4. 连接到一个 AI Agent 节点 5. WAFtester 工具会自动出现供 agent 使用 [`n8n-templates/`](n8n-templates/) 中提供了三个可直接导入的工作流模板： | 模板 | 用途 | |----------|----------| | AI WAF Security Agent | 通过 Chat Trigger + AI Agent + MCP Client 进行对话式测试 | | Scheduled WAF Audit | 每周 cron 任务，带有 Slack 通过/失败路由 | | Post-Deploy Security Gate | CI/CD webhook，根据检测率返回 HTTP 200/422 | ### 可用工具 | 工具 | 功能 | |------|--------------| | `list_payloads` | 浏览攻击 payload 目录，支持过滤 | | `detect_waf` | 指纹识别 WAF 厂商、置信度、绕过提示 | | `discover` | 映射攻击面（robots、sitemap、JS、Wayback） — **异步** | | `learn` | 从发现结果生成智能测试计划 | | `scan` | 执行 WAF 绕过测试并跟踪进度 — **异步** | | `assess` | 包含 F1、precision、MCC、FPR 的企业评估 — **异步** | | `mutate` | 应用编码/规避转换 | | `bypass` | 使用变异矩阵进行系统性绕过 — **异步** | | `probe` | TLS、HTTP/2、技术指纹识别 | | `list_tampers` | 浏览 tamper 技术目录，支持过滤 | | `discover_bypasses` | 针对实时 WAF 测试 tamper 脚本 — **异步** | | `event_crawl` | 通过无头浏览器进行 DOM 事件爬取 — **异步** | | `generate_cicd` | 为 6 个平台生成 CI/CD YAML | | `validate_spec` | 验证 API 规范的正确性和完整性 | | `list_spec_endpoints` | 解析规范并列出所有端点、方法、参数 | | `plan_spec` | 使用 8 个分析层生成智能扫描计划 | | `scan_spec` | 规范驱动的安全扫描，自动选择攻击 — **异步** | | `preview_spec_scan` | Dry-run 规范扫描，不发送请求 | | `compare_baselines` | 检测与基线相比的回归、修复和新发现 | | `spec_intelligence` | 分析规范中与安全相关的模式 | | `describe_spec_auth` | 从规范中提取并描述所有认证方案 | | `export_spec` | 将解析的规范导出为标准化 JSON | | `get_task_status` | 轮询异步任务进度并获取结果 | | `cancel_task` | 停止正在运行的异步任务 | | `list_tasks` | 查看所有运行中/已完成/失败的任务 | ### 领知识资源 AI agent 可以读取这些资源以获取上下文，而无需发起网络请求： | 资源 | 内容 | |----------|---------| | `waftester://guide` | WAF 测试方法指南 | | `waftester://waf-signatures` | WAF 厂商签名和绕过提示 | | `waftester://evasion-techniques` | 规避编码目录 | | `waftester://owasp-mappings` | OWASP Top 10 2021 映射 | | `waftester://payloads` | 完整 payload 目录 | | `waftester://payloads/unified` | 统一视图（JSON + Nuclei 模板 payload） | | `waftester://payloads/{category}` | 按类别过滤的 payload | | `waftester://templates` | Nuclei 模板库列表 | | `waftester://spec-formats` | 支持的 API 规范格式及功能 | | `waftester://intelligence-layers` | 8 层智能引擎描述 | | `waftester://version` | Server 版本、功能和资源计数 | | `waftester://config` | 默认配置值 | 完整的 MCP 示例，请参阅 [docs/EXAMPLES.md](docs/EXAMPLES.md#mcp-server-integration)。 ## 命令参考 | 命令 | 描述 | 示例 | |---------|-------------|---------| | `auto` | 完整自动化评估 | `waf-tester auto -u https://target.com` | | `scan` | 漏洞扫描（50+ 类别） | `waf-tester scan -u https://target.com -types sqli,xss` | | `bypass` | WAF 绕过发现 | `waf-tester bypass -u https://target.com --smart` | | `assess` | 企业指标（F1, MCC, FPR） | `waf-tester assess -u https://target.com -fp` | | `tampers` | 列出/测试/推荐/发现 tampers | `waf-tester tampers --for-waf=cloudflare` | | `vendor` | WAF 指纹识别（197 个签名） | `waf-tester vendor -u https://target.com` | | `probe` | 协议检测 | `waf-tester probe -l urls.txt` | | `fuzz` | 目录/内容模糊测试 | `waf-tester fuzz -u https://target.com/FUZZ` | | `smuggle` | HTTP 请求走私检测 | `waf-tester smuggle -u https://target.com` | | `race` | 竞态条件测试 | `waf-tester race -u https://target.com/checkout` | | `discover` | 端点爬取 | `waf-tester discover -u https://target.com` | | `workflow` | YAML 工作流执行 | `waf-tester workflow -f recon.yaml` | | `template` | Nuclei 兼容模板扫描器 | `waf-tester template -u https://target.com -t templates/` | | `grpc` | gRPC 服务测试 | `waf-tester grpc -u localhost:50051 --list` | | `soap` | SOAP/WSDL 服务测试 | `waf-tester soap --wsdl https://api.example.com?wsdl` | | `openapi` | OpenAPI 规范模糊测试 | `waf-tester openapi -spec openapi.yaml --fuzz` | | `cloud` | 云资源发现 | `waf-tester cloud -d example.com --providers aws,azure` | | `mcp` | 用于 AI agent 的 MCP server | `waf-tester mcp` 或 `waf-tester mcp --http :8080` | | `learn` | 从发现数据生成测试计划 | `waf-tester learn -u https://target.com` | | `crawl` | DOM 感知爬取 | `waf-tester crawl -u https://target.com` | | `headless` | 无头浏览器测试 + 事件爬取 | `waf-tester headless -u https://target.com` | | `validate` | 验证 payload 和模板 | `waf-tester validate --payloads ./payloads` | | `analyze` | 分析扫描结果 | `waf-tester analyze -f results.json` | | `fp` | 误报测试 | `waf-tester fp -u https://target.com` | | `protocol` | 协议检测 | `waf-tester protocol -u https://target.com` | | `plugin` | 插件管理 | `waf-tester plugin list` | | `run` | 执行扫描配置 | `waf-tester run quick -u https://target.com` | ## 关键选项 | 标志 | 描述 | 默认值 | |------|-------------|---------| | `-u` | 目标 URL | 必填 | | `-l` | 目标文件（每行一个） | - | | `-c` | 并发工作线程 | 25 | | `-rl` | 速率限制（请求/秒） | 150 | | `--smart` | WAF 感知自适应模式 | false | | `--tamper` | Tamper 列表（逗号分隔） | - | | `--tamper-auto` | 为检测到的 WAF 自动选择 | false | | `--tamper-profile` | 预设：stealth、standard、aggressive、bypass | - | | `--tamper-dir` | `.tengo` 脚本 tamper 目录 | - | | `--discover` | 自动发现 WAF 绕过 tamper（tampers 命令） | false | | `--event-crawl` | DOM 事件爬取（headless 命令） | false | | `-format` | 输出格式 | json | | `-o` | 输出文件 | - | | `-x` | 代理（HTTP/HTTPS/SOCKS4/SOCKS5） | - | | `--sni` | 覆盖 TLS SNI 以绕过 CDN | - | | `--burp` | Burp Suite 代理快捷方式 | false | | `--zap` | OWASP ZAP 代理快捷方式 | false | | `--payloads` | 自定义 payload 目录 | `./payloads` | | `--presets` | 自定义服务预设目录 | `./presets` | | `--template-dir` | 自定义 Nuclei 模板目录 | `./templates/nuclei` | | `--stream` | 实时流式输出 | false | ## 平台统计 | 指标 | 数值 | |--------|-------| | CLI 命令 | 38 | | WAF 签名 | 197 个厂商 | | 攻击 payload | 2,800+ | | Tamper 脚本 | 70+ | | 变异函数 | 49 | | 攻击类别 | 50+ | | 协议 | HTTP、GraphQL、gRPC、SOAP、WebSocket、OpenAPI | | 规范格式 | OpenAPI、Swagger、Postman、HAR、GraphQL、gRPC、AsyncAPI | | 输出格式 | 16 | | CI/CD 平台 | 9 | | MCP 工具 | 27 | | MCP 资源 | 12 | | MCP 提示词 | 7 | | npm 平台 | macOS、Linux、Windows（x64 + arm64） | | Docker 架构 | linux/amd64、linux/arm64 | ## 文档 | 资源 | 描述 | |----------|-------------| | [命令参考](docs/COMMANDS.md) | 每个命令的完整标志参考 | | [示例指南](docs/EXAMPLES.md) | 全面的使用示例 | | [API 规范扫描](docs/API-SPEC-SCANNING.md) | 规范驱动扫描参考 | | [安装说明](docs/INSTALLATION.md) | 安装方法（Docker、binary、npm） | | [MCP Server](docs/EXAMPLES.md#mcp-server-integration) | AI agent 集成指南 | | [Docker](docs/INSTALLATION.md#docker) | 容器部署指南 | | [贡献指南](CONTRIBUTING.md) | 贡献准则 | | [更新日志](CHANGELOG.md) | 版本历史 | | [安全政策](SECURITY.md) | 安全策略 | ## 许可证 **核心：** [Business Source License 1.1](LICENSE) - 于 2030 年 1 月 31 日转换为 Apache 2.0 **社区 Payload：** [MIT](LICENSE-COMMUNITY)

标签：AppImage, BSL许可证, C2日志可视化, CISA项目, EVTX分析, GitHub项目, Go语言, IP 地址批量处理, MITM代理, NPM包, OSV-Scalibr, Python工具, SQL注入检测, WAF测试, Web应用防火墙, XSS过滤测试, 企业安全, 反取证, 命令注入, 安全度量, 安全评估, 密码管理, 指纹识别, 日志审计, 私有化部署, 程序破解, 绕过技术, 网络安全, 网络资产管理, 请求拦截, 防御规避, 隐私保护