文章总结： 本文介绍协议级WAF规避挖掘框架WAFManis，源自S&P24论文。该工具通过自动化模糊测试发现WAF与Web应用在HTTP协议解析上的差异，利用生成、变异及双端验证模块，构造能绕过WAF却被后端执行的请求，有效实现底层突破。 综合评分： 78 文章分类： 安全工具,WEB安全,漏洞分析

【安全工具】从底层突破WAF：自动化发现协议级漏洞，绕过Web防火墙

原创

whoami0002

SecurityPaper

2026年1月13日 21:58 江苏

什么是协议级 WAF 规避？

简单来说，协议级 WAF 规避是指利用 WAF 和 Web 应用在解析 HTTP 协议时的差异，构造特殊的请求来绕过 WAF 的检测，同时让 Web 应用按照攻击者的意图执行。

WAFManis

WAFManis是一个协议级 WAF 规避挖掘框架，用于发现 WAF 和 Web 应用程序之间的解析歧义。

WAFManis 是一个专门用于发现协议级 WAF 规避漏洞的自动化框架，由安全研究人员开发，并在 2024 年 IEEE 安全与隐私研讨会（S&P ’24）上发表了相关论文。

核心特性 ✨

1. 协议级模糊测试

WAFManis 通过对 HTTP 请求进行系统性的模糊测试，自动生成各种可能触发解析歧义的请求变体。它不仅仅是在参数层面进行测试，而是深入到 HTTP 协议本身的解析层面。

2. 自动化漏洞挖掘

框架集成了多个核心模块：

• Generator（生成器）：生成各种 HTTP 请求变体
• Mutator（变异器）：对现有请求进行智能变异
• Fuzzer（模糊测试器）：基于 Atheris 进行高效的模糊测试
• WAF Validator（WAF 验证器）：验证请求是否被 WAF 拦截
• Webapp Validator（Web 应用验证器）：验证请求是否被 Web 应用接受

3. 发现解析歧义

框架的核心目标是发现 WAF 和 Web 应用之间的解析差异。当同一个请求：

• ✅ 被 WAF 判定为”安全”（放行）
• ✅ 被 Web 应用判定为”需要处理”（执行）

这就发现了一个潜在的规避漏洞！

引用

@INPROCEEDINGS {,
    author = {Q. Wang and J. Chen and Z. Jiang and R. Guo and X. Liu and C. Zhang and H. Duan},
    booktitle = {2024 IEEE Symposium on Security and Privacy (SP)},
    title = {Break the Wall from bottom: Automated Discovery of Protocol-Level Evasion Vulnerabilities in Web Application Firewalls},
    year = {2024},
    volume = {},
    issn = {2375-1207},
    pages = {128-128},
    keywords = {waf;fuzz;protocol-level waf evasion;security},
    doi = {10.1109/SP54263.2024.00129},
    url = {https://doi.ieeecomputersociety.org/10.1109/SP54263.2024.00129},
    publisher = {IEEE Computer Society},
    address = {Los Alamitos, CA, USA},
    month = {may}
}

🌟 想深入学习安全技术？

欢迎加入我们的安全技术知识星球！

在这里，你可以：

• 🔥 第一时间获取最新的安全漏洞和攻击技术分析
• 📚 系统学习从基础到高级的安全攻防知识
• 💡 实战案例分享真实的渗透测试和漏洞挖掘经验
• 🤝 技术交流与安全大牛和同行深度讨论
• 🎯 工具分享获取各种安全工具的详细使用教程
• 📖 独家资料包括漏洞报告、技术文档、学习路线图

限时优惠：前 100 名加入的伙伴，享受特别价格！

安全技术日新月异，只有持续学习才能跟上节奏。加入我们，一起在安全路上成长！🚀

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecurityPaper whoami0002《【安全工具】从底层突破WAF：自动化发现协议级漏洞，绕过Web防火墙》