Browser-Bruter是有史以来第一款基于浏览器的自动化 Web 渗透测试工具, 通过控制浏览器本身 来模糊测试Web 表单。它自动将有效载荷填充到浏览器的输入字段并将其发送到服务器,对于需要破解才能测试的好像是一个不错的选择。
使用浏览器测试器对 Web 应用程序进行模糊测试的最大优势在于,所有的模糊测试都将在浏览器级别进行,因此所有攻击都将像在浏览器上手动完成。
1、当 HTTP 主体(或主体的一部分)被加密时,允许 对 Web 应用程序表单进行模糊测试,而 ZAP 和 BurpSuite 或 SQLMap 等 HTTP 代理工具无法在此类流量中插入进行测试,除非自行解密。
2、允许渗透测试人员手动执行所需的人机交互,然后进行有效载荷插入,创建一种绕过验证码的方法。
3、当没有 HTTP 流量时可以模糊前端,例如想要强制执行在客户端验证的 OTP 输入时。
4、一句话高效模拟人工点击。
绕过加密例子
测试人员可以以与用户相同的方式与 Web 应用程序进行交互,从而无需担心加密流量。
项目地址:
https://github.com/netsquare/BrowserBruter
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):Browser-Bruter基于浏览器的自动化Web测试工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论