Prime跨站点请求伪造(CSRF)审计与利用工具包
xsrfprobe的Python项目详细描述
关于:
XSRFProbe是一个高级的Cross Site Request Forgery(CSRF/XSRF)审计和开发工具包。它配备了一个强大的爬行引擎和大量的系统检查,能够检测到大多数CSRF漏洞及其相关旁路,并进一步生成(恶意)可利用的每个漏洞的概念证据。有关XSRFProbe如何工作的更多信息,请参见XSRFProbe Internalson wiki。在
一些特性:
- [x] 在将终结点声明为易受攻击之前执行several types of checks。在
- [x] 可以在POST请求中检测多种类型的反CSRF令牌。在
- [x] 与一个强大的爬虫,它的特点是连续爬行和扫描。在
- [x] 对自定义cookie值和通用头文件的开箱即用支持。在
- [x] 使用各种算法精确的Token-Strength Detection和{a6}。在
- [x] 可以生成正常和恶意利用的CSRF概念证明。在
- [x] 井documented code和{a8}。在
- [x] 无论扫描仪做什么,用户都在control of everything中。在
- [x] 有一个用户友好的交互环境和完全详细的支持。在
- [x] 详细记录错误、漏洞、令牌和其他信息的系统。在
图库:
让我们看看XSRFProbe的一些实际场景:
在 在
用法:
For the full usage info, please take a look at the wiki's — General Usage and Advanced Usage.
通过Pypi安装:
XSRFProbe可以通过一个命令轻松安装:
pip install xsrfprobe
手动安装:
- 对于基础知识,第一步是安装工具:
- 现在,可以通过以下方式启动该工具:
xsrfprobe --help
- 在站点上测试XSRFProbe之后,将在当前工作目录中创建一个输出文件夹
xsrfprobe-output
。在此文件夹下,您可以查看扫描期间收集的详细日志和信息。在
版本和许可证:
XSRFProbev2.3
发行版是Stage 5 Production-Ready (Stable)
发行版,作品在GNU General Public License (GPLv3)下获得许可。在
警告:
不要在现场使用此工具!在
这是因为这个工具被设计来自动执行各种形式的表单提交,这可能会破坏网站。有时你可能会搞砸数据库,很可能还会在网站上执行DoS。在
在一次性/虚拟设置/现场进行测试!在
免责声明:
使用XSRFProbe测试没有事先相互一致性的网站可以被视为非法活动。最终用户有责任遵守所有适用的地方、州和联邦法律。作者不承担任何责任,也不完全负责任何误用或由本程序造成的损害。在
作者的话:
这个项目基于,完全基于我自己对跨站点请求伪造攻击的研究和对web应用程序的经验。您可以尝试查看源代码,这是高度文档化的,以帮助您理解这个工具箱是如何构建的。非常欢迎有用的pull requests,ideas and issues。如果您想了解XSRFProbe是如何开发的,请查看Development Board。在
Copyright © @0xInfection
- 项目
标签: