XSRFProbe
Prime 跨站请求伪造审计和利用工具包。
关于:
XSRFProbe是一款先进的跨站点请求伪造(CSRF/XSRF) 审计和利用工具包。它配备了强大的抓取引擎和众多系统检查,能够检测大多数 CSRF 漏洞及其相关绕过情况,并进一步针对每个发现的漏洞生成 (恶意) 可利用的概念证明。有关 XSRFProbe 工作原理的更多信息,请参阅wiki上的XSRFProbe Internals。
XSRFProbe Wiki • 入门• 常规用法• 高级用法• XSRFProbe 内部结构• 图库
一些特点:
- 在宣布端点易受攻击之前执行几种类型的检查。
- 可以检测 POST 请求中的几种类型的反 CSRF 令牌。
- 与强大的爬虫配合使用,具有持续爬行和扫描的功能。
- 开箱即用地支持自定义 cookie 值和通用标头。
- 使用各种算法进行准确的Token 强度检测和分析。
- 可以生成正常以及恶意利用的 CSRF 概念证明。
- 有详尽文档的代码和高度通用的自动化工作流程。
- 用户可以控制扫描仪所做的一切。
- 具有用户友好的交互环境和完整的详细支持。
- 错误、漏洞、令牌和其他内容的详细日志系统。
画廊:
让我们看看 XSRFProbe 的一些实际应用场景:
用法:
通过 Pypi 安装:
XSRFProbe 可以通过单个命令轻松安装:
pip install xsrfprobe
手动安装:
- 对于基础知识,第一步是安装该工具:
python3 setup.py install
- 现在,可以通过以下方式启动该工具:
xsrfprobe --help
- 在站点上测试 XSRFProbe 后,将在当前工作目录中创建一个输出文件夹
xsrfprobe-output。在此文件夹下,您可以查看扫描期间收集的详细日志和信息。
版本和许可证:
XSRFProbev2.3版本是一个Stage 5 Production-Ready (Stable)版本,并且该作品是根据GNU 通用公共许可证 (GPLv3)授权的。
警告:
请勿在实时网站上使用此工具!
这是因为该工具旨在自动执行各种表单提交,这可能会破坏网站。有时你可能会搞砸数据库,而且很可能还会对网站执行 DoS 攻击。
在一次性/虚拟设置/站点上进行测试!
免责声明:
使用 XSRFProbe 测试网站而事先未取得相互一致可视为非法活动。最终用户有责任遵守所有适用的当地、州和联邦法律。作者不承担任何责任,也不对本程序造成的任何误用或损害承担全部责任。
国内下载链接
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
