绕 waf 这么简单吗？

大家好，我是 myh0st，一个自由安全研究员，主要负责信安之路成长平台运营、内部文库更新、poc 管理系统维护等工作，今天来为大家分享一款绕 waf 的插件 nowafpls，由国外安全研究员开发。

核心原理是通过在 post 数据包中，填充大量无意义数据，在 waf 检测时，主动放弃匹配，从而绕过 waf 的拦截，项目地址：

https://github.com/assetnote/nowafpls

作者使用演示：

对此，我也找了一些存在 waf 的网站进行了实战测试，提交带有恶意参数的数据包，如图：

image-20250512161444507

增加一个参数，并填充 8k 的数据，展示如图：

image-20250512161611191

出现这样的界面，说明这种方式绕 waf 是有效的，关于为什么？其实也简单，对于大数据包的检测会增加服务器的负荷，降低网站的性能，比如响应速度和用户体验，为了平衡体验和安全，会对检测的数据包进行限制，比如超过一定阈值的数据包放弃检测，从而给了黑客可乘之机。

对于安全从业者而言，在渗透测试过程中，遇到 waf 拦截的情况，可以尝试这种方式，进行 waf 绕过，提升测试效果，对于 waf 运营者而言，需要关于大数据包的请求，说不定其中就包含了恶意数据，导致防御失效。