关于Bypass Fuzzer
Bypass Fuzzer是一款针对Web终端节点40x状态码的模糊测试工具,该工具可以对目标Web服务器/终端节点执行模糊测试,以判断是否存在40x状态码绕过问题。
功能介绍
当前版本的Bypass Fuzzer能够通过Header和路径规范化等方式对目标Web节点执行多种安全测试,以尝试扫描和识别ACL验证绕过或URL验证绕过等安全问题。功能特性如下:
1、以良好的格式和颜色高亮编码输出每个请求的响应代码和长度,以便于阅读;
2、“智能”过滤器可让我们在经过一定次数的操作后,自动过滤响应中的干扰噪声;
3、支持从Burp获取原始HTTP请求;
工具要求
requests
colorama
工具安装
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/intrudir/BypassFuzzer.git
然后切换到项目目录中,创建一个虚拟环境:
cd BypassFuzzer py -m venv .venv
激活虚拟环境:
#Linux&macOS .venv\Scripts\activate #Windows source .venv/bin/activate
使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:
python3 -m pip install -r .\requirements.txt
工具使用
查看工具帮助信息
bypassfuzzer.py -h
指定一个请求
最好的方法:从Burp直接获取原始HTTP请求!
只需将请求粘贴到文件中并运行脚本即可,工具脚本将解析并使用请求中的cookies和headers。下列命令可以直接验证我们的请求:
python3 bypassfuzzer.py -r request.txt
使用命令参数
指定一个URL:
python3 bypassfuzzer.py -u http://example.com/test1/test2/test3/forbidden.html
指定请求中要使用的Cookie:
--cookies "cookie1=blah" -c "cookie1=blah; cookie2=blah"
指定要发送的Body数据和要使用的方法:
bypassfuzzer.py -u https://example.com/forbidden -m POST -d "param1=blah&param2=blah2" bypassfuzzer.py -u https://example.com/forbidden -m PUT -d "param1=blah&param2=blah2"
指定额外的Header:
bypassfuzzer.py -u https://example.com/forbidden -H "Some-Header: blah" -H "Authorization: Bearer 1234567"
智能过滤器功能
bypassfuzzer.py -u https://example.com/forbidden --smart
指定代理
bypassfuzzer.py -u https://example.com/forbidden --proxy http://127.0.0.1:8080
跳过发送指定Payload类型
bypassfuzzer.py -u https://example.com/forbidden -sh # or --skip-headers bypassfuzzer.py -u https://example.com/forbidden -su # or --skip-urls
隐藏响应码/长度
bypassfuzzer.py -u https://example.com/forbidden -hc 403,404,400 bypassfuzzer.py -u https://example.com/forbidden -hl 638
检测OOB/SSRF盲注
--oob abc123.oastify.com
项目地址
Bypass Fuzzer:【GitHub传送门】
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
