Rikixz-dev/waf-vercel

# WAF 绕过工具 自动检测并绕过 WAF 验证挑战（包括 Vercel、Cloudflare、AWS、Akamai、Imperva、Sucuri、F5 等更多）。 ## 安装 ``` pip install curl_cffi cloudscraper ``` ## 使用方法 ``` python waf_bypass.py -t https://target.com ``` 或者让它提示输入 URL： ``` python waf_bypass.py ``` 可选代理： ``` python waf_bypass.py -t https://target.com -p http://127.0.0.1:8080 ``` ## 工作原理 1. 使用 TLS 指纹化请求探测目标（curl_cffi 模仿 Chrome 136） 2. 根据响应头、Cookie 和正文内容检测 WAF 3. 应用匹配的绕过策略 ## 支持的 WAF | WAF | 检测方法 | 绕过方法 | |---|---|---| | **Vercel** | `x-vercel-challenge-token` / `x-vercel-id` | SHA256 PoW 求解器 | | **Cloudflare** | `cf-ray` / `__cfduid` / `server: cloudflare` | cloudscraper | | **AWS WAF** | `x-amz-cf-id` / `x-amzn-*` | TLS 配置文件轮换 (Chrome/Firefox/Safari/Edge) | | **Akamai** | `akamai-grn` / `x-akamai-*` | TLS 配置文件轮换 + 延迟重试 | | **Imperva** | `x-iinfo` / `incap_ses` cookie | cloudscraper + curl 降级 | | **Sucuri** | `x-sucuri-id` / `server: sucuri` | cloudscraper + curl 降级 | | **F5 BIG-IP** | `x-f5` / `x-asm` | TLS 配置文件轮换 | | **ModSecurity** | 正文中的 `mod_security` / `naxsi` | TLS 指纹 | | **未知** | 正文中的挑战关键词 | 尝试所有配置文件 + 求解器 | ## 输出示例 ``` [*] Target: https://agath.app/ [*] Host: agath.app [*] Detecting WAF... VERCEL Status: 429 Reason: Blocked: HTTP 429; Vercel challenge token; challenge page detected -> Vercel PoW solver... BYPASSED [200] [+] WAF BYPASSED using chrome136 (vercel_solver) [+] Status: 200 [+] Response size: 13840 bytes [+] Server: N/A ``` 未检测到 WAF： ``` [*] Target: https://httpbin.org/ [*] Host: httpbin.org [*] Detecting WAF... none [+] Site accessible directly [200] ``` 检测到 Cloudflare（可访问，无阻挡）： ``` [*] Target: https://nowsecure.nl/ [*] Host: nowsecure.nl [*] Detecting WAF... CLOUDFLARE Status: 200 WAF detected (cloudflare) but site is accessible without bypass ```

标签：AppImage, HTTP请求伪造, Radare2, TLS指纹, WAF绕过, Web应用防火墙, 代理支持, 代码生成, 告警, 子域名暴力破解, 安全测试, 攻击性安全, 浏览器模拟, 渗透测试工具, 私有化部署, 网络安全, 自动化检测, 逆向工具, 防御规避, 隐私保护, 验证挑战绕过