WAF-Checker:免费开源WAF测试神器 一键检测防火墙防护效果
做网站运维、安全检测的朋友肯定都关心自己的WAF(Web应用防火墙)到底好不好用,光靠猜可不行,得实测才知道!今天我的站长站就给大家分享一款超实用的工具——WAF-Checker,这是由MickAEl Asseline开发的免费开源WAF测试平台,部署在Cloudflare Worker上,能全方位评估你的Web应用防火墙防护效果,不管是检测漏洞还是验证WAF拦截能力,用它都能把情况摸得透透的。
WAF-Checker 核心亮点,用过都说香
这款工具之所以实用,核心就是功能全、更新快、易使用,几个关键亮点先给大家说清楚:
19+攻击类别全覆盖:SQL注入、XSS、酸酸乳F、XXE、SSTI这些OWASP Top 10常见攻击类型全都包含,你能想到的安全漏洞测试场景基本都能覆盖;
344+自动更新载荷:载荷从GitHub实时拉取,就像病毒库一样自动更新,不用手动维护,测试数据始终是最新的;
15+WAF指纹识别:Cloudflare、AWS WAF、Imperva、ModSecurity这些主流WAF/CDN,一扫就能精准识别出你在用的是哪一款;
免费开源无门槛:部署在Cloudflare Worker上,不用自己搭服务器,直接就能用,完全免费还开源,放心又省心。
WAF-Checker 详细功能模块,覆盖全场景测试
1. 安全攻击测试:验证WAF防护真本事
这是核心功能,专门测试WAF能不能拦住各类攻击,不光有基础测试,还有进阶的绕过测试:
基础测试包含19类攻击检测,还额外加了9类高级绕过测试,比如编码变体、协议走私、框架专属载荷这些;误报测试也安排得明明白白,能验证合法流量会不会被WAF误拦,避免防护过度影响正常访问;同时支持GET、post、PUT、DELETE等多种HTTP方法测试,覆盖不同请求场景。
进阶绕过测试更是实用,双编码、Unicode、大小写混淆、注释混淆这些常见的绕过手段都能模拟,还能根据识别出的WAF类型,生成专属的绕过策略,精准测试WAF的防护边界;另外还支持HTTP操纵测试,比如动词篡改、参数污染、内容类型混淆这些,把WAF的防护能力测到底。
2. 全维度站点侦察,摸清站点所有细节
除了测试WAF,这款工具还能做全站侦察,相当于给网站做一次全面的“体检”:
技术指纹识别:能精准查出网站用的CMS(WordPress、Drupal、Joomla等)、开发框架、Web服务器、CDN/WAF,甚至连25+种JavaScript库都能识别;
DNS与WHOIS分析:A、AAAA、CNAME、MX、NS、TXT、SOA这些DNS记录全都能解析,还能查IP地理定位、ISP、ASN、反向DNS,摸清网站基础设施;
子域名与反向IP查找:通过证书透明度日志(crt.sh)和DNS暴力破解找子域名,还能查同IP托管的所有域名,排查共享主机风险;
其他细节:SSL/TLS证书详情、CMS深度分析(比如WordPress的主题和插件版本)、Robots.txt/sitemap.xml等路径探测、Cookie安全标志分析,能想到的站点信息基本都能查到。
3. 专项审计能力,多维度评估站点状态
| 审计模块 | 核心能力 |
|---|---|
| 安全头审计 | A+~F分级评分、CSP/HSTS等配置分析、信息泄露检测、可落地的优化建议 |
| 速度测试 | 0~100性能分、Lighthouse风格评分、核心Web指标(FCP/LCP等)、加载时序/大小拆解 |
| DNS/WHOIS情报 | 完整DNS解析、邮件安全审计(SPF/DMARC)、基础设施识别 |
| SEO审计 | 0~100总分、元标签/结构化数据/内容/链接分析、sitemap/robots解析 |
每个专项审计都支持导出JSON、HTML报告或PNG截图,不管是自己分析还是给客户出报告,都能直接用。
4. 实时结果+灵活配置,用起来超顺手
测试结果通过Server-Sent Events (SSE) 流式输出,不用等全部测试完才能看,一边测一边出结果,还做了颜色编码:
403(绿色)=WAF拦住了攻击(防护有效);200(红色)=攻击载荷绕过了WAF(有漏洞);3xx(橙色)=重定向(需要进一步排查);4xx(黄色)=其他客户端错误。
载荷配置也能自定义,内置配置面板可以添加、编辑、删除载荷,创建自定义攻击类别,还能分开管理攻击载荷和误报测试载荷,修改后的配置会存在localStorage里,下次用不用重新设置。
5. 公共API+批量测试,适配批量场景
工具提供全功能的REST API,覆盖WAF检测、侦察、各类审计功能,不用登录就能用,单IP每分钟允许1次请求,响应头会显示限流信息,返回结果都是JSON格式,用curl、jq等工具就能调用。
批量测试功能能同时测100个URL,支持并发处理和进度跟踪,还能按每个URL分析绕过率;扫描历史会自动存在浏览器本地,想回顾之前的测试结果、快速重扫都很方便。
WAF-Checker 技术架构,轻量化易部署
这款工具基于Cloudflare Worker开发,搭配静态资产,整体架构轻量化,核心分为后端和前端两部分,载荷从GitHub动态加载,保证Worker包体积小、运行快,项目核心结构如下:
wrangler.toml # Cloudflare Worker配置 app/src/ ├── api.ts # 主Worker入口 & API路由 ├── payloads.ts # 载荷类型(从GitHub加载数据) ├── advanced-payloads.ts # 编码&绕过生成函数 ├── encoding.ts # WAF绕编码工具 ├── waf-detection.ts # WAF指纹识别 ├── http-manipulation.ts # HTTP协议操纵技术 ├── reporting.ts # 导出&分析模块 ├── batch.ts # 批量测试模块 └── static/ ├── index.html # 主Web界面 ├── main.js # 前端逻辑&UI ├── style.css # 赛博朋克主题样式 └── favicon.svg # 应用图标
实用链接,直接上手用
想体验的朋友可以直接用这两个链接,不用自己部署也能测:
GitHub仓库:WAF-Checker开源仓库
在线使用地址:waf-checker.com
总的来说,WAF-Checker是站长、安全运维人员的实用工具,不管是验证自己的WAF防护效果,还是给客户做站点安全审计,都能大幅提升效率,关键还免费开源,不用花一分钱就能用全功能,感兴趣的朋友可以赶紧试试。
### 总结 1. WAF-Checker是**免费开源**的WAF测试工具,部署在Cloudflare Worker,核心用于评估WAF防护效果,覆盖19+攻击类别、15+WAF指纹识别; 2. 功能覆盖安全攻击测试、全站侦察、多维度专项审计,支持实时结果查看、自定义载荷、批量测试和多格式报告导出; 3. 提供公共API和在线使用地址,无需本地部署即可快速上手,是站长和安全运维人员的高效工具。