关于Forbidden-Buster
Forbidden-Buster是一款功能强大的Web应用程序安全测试工具,该工具专为红队研究人员设计,可以通过自动化的形式并采用多种技术绕过HTTP 401和HTTP 403响应码,通过访问目标系统的未授权区域,来测试目标Web应用程序的安全态势。
功能介绍
1、探测HTTP 401和HTTP 403响应码并发现和识别潜在的绕过技术;
2、使用各种技术方法和Header测试和绕过访问控制限制;
3、支持通过命令行参数自定义工具行为;
4、新增API模糊测试方法,支持探测不同的API版本并修改实时数据;
5、移除了数据发送频率限制功能;
工具安装
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Sn1r/Forbidden-Buster.git
然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:
cd Forbidden-Buster pip3 install -r requirements.txt
工具运行
工具安装完成之后,可以直接使用下列命令针对目标待测站点执行工具脚本:
python3 forbidden_buster.py -u http://example.com
工具参数选项
当前版本的Forbidden-Buster支持使用下列参数命令选项控制脚本行为:
-h, --help 显示工具帮助信息和退出 -u URL, --url URL 待测Web应用程序的完整URL路径 -m METHOD, --method METHOD 要使用的测试方法,默认为GET -H HEADER, --header HEADER 添加一个自定义Header -d DATA, --data DATA 向请求Body中添加数据,支持JSON格式数据 -p PROXY, --proxy PROXY 设置并使用代理 --include-unicode 引入Unicode模糊测试(速度慢) --include-user-agent 引入User-Agent模糊测试(速度慢) --include-api 引入API模糊测试
工具使用样例
python3 forbidden_buster.py --url "https://example.com/api/v1/secret" --method POST --header "Authorization: Bearer XXX" --data '{\"key\":\"value\"}' --proxy "http://proxy.example.com" --include-api --include-unicode
许可证协议
本项目的开发与发布遵循MIT开源许可证协议。文章来源:https://www.toymoban.com/news/detail-822852.html
项目地址
Forbidden-Buster:【GitHub传送门】文章来源地址https://www.toymoban.com/news/detail-822852.html
到了这里,关于如何使用Forbidden-Buster绕过HTTP 401403访问限制的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
