Forbidden-Buster是一款功能强大的Web应用程序安全测试工具,该工具专为红队研究人员设计,可以通过自动化的形式并采用多种技术绕过HTTP 401和HTTP 403响应码,通过访问目标系统的未授权区域,来测试目标Web应用程序的安全态势。
1、探测HTTP 401和HTTP 403响应码并发现和识别潜在的绕过技术;
2、使用各种技术方法和Header测试和绕过访问控制限制;
3、支持通过命令行参数自定义工具行为;
4、新增API模糊测试方法,支持探测不同的API版本并修改实时数据;
5、移除了数据发送频率限制功能;
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Sn1r/Forbidden-Buster.git
然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:
cd Forbidden-Busterpip3 install -r requirements.txt
工具安装完成之后,可以直接使用下列命令针对目标待测站点执行工具脚本:
python3 forbidden_buster.py -u http://example.com
当前版本的Forbidden-Buster支持使用下列参数命令选项控制脚本行为:
-h, --help 显示工具帮助信息和退出-u URL, --url URL 待测Web应用程序的完整URL路径-m METHOD, --method METHOD要使用的测试方法,默认为GET-H HEADER, --header HEADER添加一个自定义Header-d DATA, --data DATA 向请求Body中添加数据,支持JSON格式数据-p PROXY, --proxy PROXY设置并使用代理--include-unicode 引入Unicode模糊测试(速度慢)--include-user-agent 引入User-Agent模糊测试(速度慢)--include-api 引入API模糊测试
python3 forbidden_buster.py --url "https://example.com/api/v1/secret" --method POST --header "Authorization: Bearer XXX" --data '{"key":"value"}' --proxy "http://proxy.example.com" --include-api --include-unicode
本项目的开发与发布遵循MIT开源许可证协议。
Forbidden-Buster:
https://github.com/Sn1r/Forbidden-Buster
原文始发于微信公众号(FreeBuf):如何使用Forbidden-Buster绕过HTTP 401403访问限制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论