SmuggleFuzz是一款功能强大的高级HTTP降级走私安全扫描工具，有高度的可配置性，为广大研究人员提供了一个可定制的小工具列表，用于深入了解目标应用程序的HTTP降级走私安全问题。
下载：

https://github.com/Moopinger/smugglefuzz
HTTP降级走私是一种安全漏洞，攻击者可以利用该漏洞在HTTP/2和HTTP/1.1混合使用的环境中实施各种攻击。SmuggleFuzz通过模拟这些攻击场景，帮助研究人员发现和评估应用程序中可能存在的HTTP降级走私风险。

该工具的主要优势在于其强大的扫描能力和高度的灵活性。它支持多种HTTP降级走私攻击技术，并允许用户根据实际需求进行定制和扩展。此外，SmuggleFuzz还提供了详细的扫描报告，帮助研究人员快速定位和修复潜在的安全问题。

HTTP降级走私检测：SmuggleFuzz主要针对HTTP降级走私安全问题进行检测和识别。它能够模拟和测试目标应用程序在HTTP/2和HTTP/1.1混合使用环境中的行为，从而发现可能存在的安全漏洞。

高度可配置性：该工具提供了丰富的配置选项，允许用户根据实际需求进行定制化设置。用户可以自定义扫描参数、目标地址以及其他相关配置，以适应不同的测试场景和需求。

灵活的攻击模拟：SmuggleFuzz支持多种HTTP降级走私攻击技术的模拟，能够模拟各种攻击场景，以全面评估目标应用程序的安全性。通过模拟不同的攻击方式，用户可以深入了解应用程序的脆弱点，并采取相应的防御措施。

详细的扫描报告：在完成扫描后，SmuggleFuzz会生成详细的扫描报告，包括发现的漏洞信息、攻击模拟的结果以及其他相关数据。这些报告可以帮助用户快速定位和修复潜在的安全问题，并提供有效的安全建议。

需要注意的是，由于SmuggleFuzz是一款专业的安全扫描工具，使用它需要一定的技术背景和安全知识。同时，在使用该工具进行扫描时，必须遵守相关的法律法规和道德规范，确保不对目标应用程序造成不必要的损害或侵犯他人的隐私。

以下是使用SmuggleFuzz的scan命令的详细信息：

基本用法：

使用smugglefuzz scan命令来执行扫描任务。
命令选项：

-c, --confirm：在发生超时时，启用此参数可以判断目标是否存在漏洞。

-d, --data string：要发送的HTTP/2数据帧，例如99rn（默认为"99rn"）。

--dc：禁用输出颜色高亮显示。

-f, --file string：包含多个URL格式目标的文件，每个目标单独一行。

--filter string：通过字符串或帧类型过滤请求，例如405, 200, 502, TIMEOUT, RST, GOAWAY等。

-H, --header string：插入一个自定义Header，格式为Cookie: date=...; session=...;。

-h, --help：查看scan命令的帮助信息。

-i, --interval int：检测超时周期，单位为秒（默认为5秒）

原文始发于微信公众号（渗透测试 网络安全技术学习）：强大安全工具SmuggleFuzz：