1、工具介绍
InfiltrateX越权扫描工具,是一款越权漏洞自动化检、流量分析、cookies综合检测工具解决了越权漏洞自动化检测难的问题
2、主要功能介绍
- AI 驱动:InfiltrateX 结合了 AI 技术,通过比较两个 HTTP 请求的响应数据来检测潜在的越权行为。它能够智能分析请求的结构和内容,忽略动态字段(如时间戳、会话 ID 等),并进行语义匹配。
- 多维度分析:工具支持多种分析维度,包括 HTTP 状态码对比、响应内容相似度计算(如 Levenshtein 编辑距离)、敏感数据检测等。
- 灵活配置:用户可以通过配置文件(config.json)设置 AI 的类型(如 qianwen、kimi、gpt 等)、API 密钥、请求头、接口后缀白名单等。
- 支持 HTTPS 流量解析:首次启动后会自动生成证书,用于解析 HTTPS 流量。
- 结果展示:扫描结果可以通过终端输出或访问 Web 界面(127.0.0.1:8222)查看。
3、用法
- 编译与运行: 执行 go build 编译项目(如果下载的是 Releases,则跳过此步骤)。 运行生成的二进制文件。
- 证书安装:首次启动后,需要安装生成的证书以解析 HTTPS 流量。
- 代理设置:将 BurpSuite 挂载到下级代理(默认为 127.0.0.1:9080),开始扫描。
4、工具获取
https://github.com/Ed1s0nZ/InfiltrateX
原文始发于微信公众号(知树安全团队):InfiltrateX自动化越权扫描工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论