如何使用Forbidden-Buster绕过HTTP 401403访问限制

2024-01-25 14:39:01 浏览数 (1)

关于Forbidden-Buster

Forbidden-Buster是一款功能强大的Web应用程序安全测试工具,该工具专为红队研究人员设计,可以通过自动化的形式并采用多种技术绕过HTTP 401和HTTP 403响应码,通过访问目标系统的未授权区域,来测试目标Web应用程序的安全态势。

功能介绍

1、探测HTTP 401和HTTP 403响应码并发现和识别潜在的绕过技术; 2、使用各种技术方法和Header测试和绕过访问控制限制; 3、支持通过命令行参数自定义工具行为; 4、新增API模糊测试方法,支持探测不同的API版本并修改实时数据; 5、移除了数据发送频率限制功能;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

代码语言:javascript复制
git clone https://github.com/Sn1r/Forbidden-Buster.git

然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:

代码语言:javascript复制
cd Forbidden-Buster

pip3 install -r requirements.txt

工具运行

工具安装完成之后,可以直接使用下列命令针对目标待测站点执行工具脚本:

代码语言:javascript复制
python3 forbidden_buster.py -u http://example.com

工具参数选项

当前版本的Forbidden-Buster支持使用下列参数命令选项控制脚本行为:

代码语言:javascript复制
-h, --help             显示工具帮助信息和退出

  -u URL, --url URL      待测Web应用程序的完整URL路径

  -m METHOD, --method METHOD

                        要使用的测试方法,默认为GET

  -H HEADER, --header HEADER

                        添加一个自定义Header

  -d DATA, --data DATA  向请求Body中添加数据,支持JSON格式数据

  -p PROXY, --proxy PROXY

                        设置并使用代理

  --include-unicode      引入Unicode模糊测试(速度慢)

  --include-user-agent   引入User-Agent模糊测试(速度慢)

  --include-api          引入API模糊测试

工具使用样例

代码语言:javascript复制
python3 forbidden_buster.py --url "https://example.com/api/v1/secret" --method POST --header "Authorization: Bearer XXX" --data '{"key":"value"}' --proxy "http://proxy.example.com" --include-api --include-unicode

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Forbidden-Buster:

https://github.com/Sn1r/Forbidden-Buster

0 人点赞