用于检测开放重定向漏洞的模糊测试器

🏗️ 安装 ⛏️ 使用 📚 依赖项

安装

git clone https://github.com/devanshbatham/openredirex
cd openredirex
sudo chmod +x setup.sh
./setup.sh

用法

该脚本从命令行执行，具有以下使用选项：

openredirex [-p payloads] [-k keyword] [-c concurrency]

• -p, --payloads：包含有效载荷列表的文件。如果未指定，则使用硬编码列表。
• -k, --keyword：URL 中要替换为有效负载的关键字。默认值为“FUZZ”。
• -c, --concurrency：并发任务数。默认为 100。

该脚本需要输入一个 URL 列表。每个 URL 都应包含选项指定的关键字-k。该脚本将关键字替换为每个有效负载，并尝试获取修改后的 URL。

使用示例：

cat list_of_urls.txt |  openredirex -p payloads.txt -k "FUZZ" -c 50

URL 列表应如下所示：

cat list_of_urls.txt

https://newsroom.example.com/logout?redirect=FUZZ
https://auth.example.com/auth/realms/sonatype/protocol/openid-connect/logout?redirect_uri=test
https://exmaple.com/php?test=baz&foo=bar

此示例从文件读取 URL list_of_urls.txt，将所有参数值替换为FUZZ（如果--keyword未提供），然后再次FUZZ用来自的每个有效负载替换关键字或提供的关键字payloads.txt，并同时获取每个 URL，最多可并发 50 个任务。

依赖项

该脚本使用以下库：

• argparse用于处理命令行参数。
• aiohttp用于发出 HTTP 请求。
• tqdm用于显示进度。
• concurrent.futures用于处理并发任务。
• asyncio用于管理异步任务。

在运行脚本之前，您需要安装这些依赖项。它们大多数是标准 Python 库的一部分。您可以使用 pip 安装aiohttp并tqdm安装：

pip install aiohttp tqdm

您可以使用此脚本检查 Web 应用程序中的开放重定向。但是，您只能在获得明确测试权限的系统上使用它。

国内下载链接