神兵利器 - HTTP 请求走私检测工具【文末抽奖】

admin 2022年9月16日09:30:38安全工具评论12 views2827字阅读9分25秒阅读模式

 HTTP 请求走私是一种高危漏洞,是一种攻击者走私模糊的 HTTP 请求以绕过安全控制并获得未经授权的访问以执行恶意活动的技术,该漏洞早在 2005 年就被watchfire发现,后来在 2019 年 8 月重新发现由James Kettle - (albinowax)发现并在DEF CON 27Black-Hat USA 上展示,要了解有关此漏洞的更多信息,您可以参考他在Portswigger 网站上的详细研究博客. 所以这个安全工具背后的想法是检测给定主机的 HRS 漏洞,检测基于给定排列的时间延迟技术,所以要了解更多关于这个工具的信息,我强烈建议你阅读我的博客文章这个工具。


神兵利器 - HTTP 请求走私检测工具【文末抽奖】


        该工具是使用 python 编写的,要使用该工具,您必须在本地计算机上安装 python 3.x 版。它接受您需要在文本文件中提供的一个 URL 或 URL 列表的输入,并且通过遵循 HRS 漏洞检测技术,该工具具有内置的有效负载,其中包含大约 37 个排列和检测有效负载的 CL.TE 和TE.CL 和对于每个给定的主机,它将使用这些有效载荷生成攻击请求对象,并计算收到每个请求的响应后经过的时间并确定漏洞,但大多数情况下它可能是误报,因此确认您可以使用 burp-suite turbo intruder 的漏洞并尝试您的有效载荷。


安装

git clone https://github.com/anshumanpattnaik/http-request-smuggling.gitcd http-request-smugglingpip3 install -r requirements.txt


usage: smuggle.py [-h] [-u URL] [-urls URLS] [-t TIMEOUT] [-m METHOD] [-r RETRY]
HTTP Request Smuggling vulnerability detection tool
optional arguments: -h, --help show this help message and exit -u URL, --url URL set the target url -urls URLS, --urls URLS set list of target urls, i.e (urls.txt) -t TIMEOUT, --timeout TIMEOUT set socket timeout, default - 10 -m METHOD, --method METHOD set HTTP Methods, i.e (GET or POST), default - POST -r RETRY, --retry RETRY set the retry count to re-execute the payload, default


扫描一个网址

python3 smuggle.py -u <URL>

扫描多个网址

python3 smuggle.py -urls <URLs.txt>

检测负载需要更改以使其更准确,那么您可以更新检测数组的 payloads.json 文件中的负载。

"detection": [ { "type": "CL.TE", "payload": "rn1rnZrnQrnrn", "content_length": 5 }, { "type": "TE.CL", "payload": "rn0rnrnrnG", "content_length": 6 }]

下载地址:

https://github.com/anshumanpattnaik/http-request-smuggling

神兵利器 - HTTP 请求走私检测工具【文末抽奖】


神兵利器 - HTTP 请求走私检测工具【文末抽奖】粉丝福利神兵利器 - HTTP 请求走私检测工具【文末抽奖】


 为了感谢大家一直以来的关注与支持,会有书籍免费赠送神兵利器 - HTTP 请求走私检测工具【文末抽奖】


神兵利器 - HTTP 请求走私检测工具【文末抽奖】书籍介绍:

一:Kerberos域网络安全从入门到精通

神兵利器 - HTTP 请求走私检测工具【文末抽奖】

1.详细分析kerberos域网络安全漏洞,有针对性介绍攻防对抗方,维护kerberos域网络安全,保证企业网络安全稳定运行。Kerberos域网络作为承载企业资源和个人资源的基础网络,一旦失陷后果 严重。解决域网络安全问题是攻防从业人员必须解决的难题,本书详细介绍所有域网络相关漏洞,并给出攻防对抗方法,让安全从业人员“知己知彼,百战百胜”。2. 首本成体系的kerberos域网络安全教程,填补域网络安全书籍空白。域网络安全 重要,但是市场上关于域网络安全的图书都是国外引进,并不 适应我国企业需求,本书则从 企业的实际需求出发,介绍符合实际的攻防对抗方案, 有参考价值。3.原理介绍 + 案例分析 + 实验演示,增强了本书的可读性与实践指导性,读者能轻松、系统地掌握 Kerberos 域网络安全的相关内容,为我国 Kerberos 域网络的安全建设工作添砖加瓦。

二:元宇宙

对于新事物,人们总是充满好奇,提起“元宇宙”也并不例外——总是听说,在元宇宙中,我们可以变身超级英雄拯救世界,可以穿越古代目睹十里长安街的繁华,甚至可以驾驶飞船穿越宇宙,躲避世俗的纷扰……

这些关于平行世界和未来世界的想象,这些似乎遥不可及的梦,因为元宇宙的到来,都成了可以期待的明天。那么,你是否也跃跃欲试,想尽快了解元宇宙;摩拳擦掌,想着手架构属于自己的世界呢?翻开这本书:《元宇宙:图说元宇宙、设计元宇宙(全两册)》,一切指日可待!

北京大学出版社联合文津图书奖得主、全国十大科普教育平台“量子学派”与中国科学院院士共同推出的“元宇宙图谱”现已上架热卖,320幅手绘插图、场景化的叙事艺术,外加十一维元宇宙关系图谱和大拉页版“2140世界设定”,从零开始读懂元宇宙,做个属于未来的先行者吧!


三:物联网软件架构设计与实现

神兵利器 - HTTP 请求走私检测工具【文末抽奖】

目前,物联网进入了与传统产业深度融合发展的新阶段,工业制造领域的转型升级成为工业物联网发展的重要驱动力,软件与硬件协同发展将成为物联网发展的重要趋势。本书从物联网软件框架的角度出发进行顶层设计,解决集成设备过程中多协议、多交互机制、多数据格式的问题,全面阐述设备数据和系统数据集成过程中面临的实际问题。本书涵盖通信框架、设备驱动管理器的设计、插件引擎设计、序列号的设计、OPC Server和OPC Client服务介绍及应用案例分享等内容,全面介绍物联网软件框架的整体实现过程。本书逻辑性强、整体性好,适合有一定编程基础的开发人员、框架设计人员、方案设计人员和即将步入职场的高校学生学习。



神兵利器 - HTTP 请求走私检测工具【文末抽奖】规则如下:

     1.  转发朋友圈,中奖后转发视为无效。

     2. 私聊文末公众号发送“抽奖”即可扫描参与抽奖,注意看是发送暗号“抽奖”。

     3. 中奖者不满足条件1,请不要加运营微信兑奖了哦。

     4. 活动截止时间09月16日 18:00点,到时候还要中奖者及时联系号主发送你的中奖核验二维码、朋友圈转发截图、收货地址、姓名以及手机号,好给您发送书籍哦!


注:

1. 24小时内未联系号主视为自动放弃!改头像、微信名字等骗书行为出版社将永久拉黑!

2. 未在开奖前将本文转发朋友圈的,中奖是为无效,请不要加运营微信兑奖了哦。


先转发本文到朋友圈,然后点击下方公众号 私信发送“抽奖” 即可马上扫描参与抽奖神兵利器 - HTTP 请求走私检测工具【文末抽奖】

原文始发于微信公众号(橘猫学安全):神兵利器 - HTTP 请求走私检测工具【文末抽奖】

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月16日09:30:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  神兵利器 - HTTP 请求走私检测工具【文末抽奖】 http://cn-sec.com/archives/1298854.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: