一款自动化授权测试工具

admin
admin
admin
138635
文章
114
评论
2024年12月24日13:46:03评论22 views字数 1175阅读3分55秒阅读模式
工具介绍

Authz0是一款自动化授权测试工具,可以根据URL和角色与凭证识别未经授权的访问。URL和角色作为基于YAML的模板进行管理,可以通过authz0自动创建和添加。您还可以使用一次创建/生成的模板文件基于多个身份验证标头和cookie进行测试。
一款自动化授权测试工具
主要功能

生成扫描模板$ authz0 new包含 URL包括角色包括 ZAP 历史记录(选择 URL > 将选定条目保存为 HAR)包括 Burp 历史记录(选择 URL > 保存项目)包含 HAR 文件轻松修改扫描模板(角色、URL)$ authz0 setUrl $ authz0 setRole authz0 setCred使用模板进行扫描授权(访问控制)$ authz0 scan支持 macOS/Windows/Linux 和Docker、Github 操作
使用方法

可用命令:

  completion  Generate the autocompletion script for the specified shell  help        Help about any command  new         Generate new template  scan        Scanning  setCred     Append Credential to Template  setRole     Append Role to Template  setUrl      Append URL to Template  version     Show version

1. 生成模板

authz0 new <filename> [flags]例如:authz0 new target.yaml --include-urls urls.txtauthz0 new target.yaml --include-zap zapurls.harauthz0 new target.yaml --include-burp burpurl.xml

2. 修改模板

authz0 setCred <filename> [flags]authz0 setRole <filename> [flags]authz0 setUrl <filename> [flags]例如:authz0 setUrl target.yaml setUrl -u https://www.hahwul.comauthz0 setRole target.yaml -n User1authz0 setCred target.yaml -n User1 -H "X-API-Key: 1234" -H "TestHeader: 12344"

3. 扫描

authz0 scan <filename> [flags]例如:authz0 scan target.yamlauthz0 scan target.yaml -r TestUser1 -H "Cookie: 1234=1234" -H "X-API-Key: 1234555"
下载地址

https://github.com/hahwul/authz0

原文始发于微信公众号(Hack分享吧):一款自动化授权测试工具

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月24日13:46:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一款自动化授权测试工具https://cn-sec.com/archives/3532997.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息