AuthCov 一款Web应用程序授权覆盖范围扫描工具
2019-10-22 11:04:23 Author: mp.weixin.qq.com(查看原文) 阅读量:75 收藏

介绍


以预定义用户身份登录时,AuthCov使用Chrome无头浏览器抓取您的Web应用程序。它拦截并记录API请求以及在爬网阶段加载的页面。在下一阶段,它以不同的用户帐户“入侵者”登录,并尝试访问先前发现的每个API请求或页面。它为每个定义的入侵者重复此步骤。最后,它会生成一份详细的报告,列出发现的资源以及入侵者用户是否可以访问这些资源。

通过扫描本地Wordpress实例生成的示例报告: 

特征


适用于单页应用程序和传统的多页应用程序处理基于令牌和基于cookie的身份验证机制生成HTML格式的深入报告可以在报告中查看爬网的每个页面的屏幕截图

安装
安装节点10。然后运行:
$ npm install -g authcov用法
为您要扫描的站点生成一个配置:
$ authcov new myconfig.js
更新myconfig.js中的值
通过运行此命令来测试您的配置值,以确保浏览器成功登录。
$ authcov test-login myconfig.js --headless=false
抓取您的网站:
$ authcov crawl myconfig.js
尝试入侵在爬网阶段发现的资源:
$ authcov intrude myconfig.js
在以下位置查看生成的报告: ./tmp/report/index.html文章来源及下载:

https://github.com/authcov/authcov

你可能喜欢

Kali敏感文件扫描工具Nikto简单使用

Konan 一款高级Web应用程序目录扫描工具

Masc 一款Web恶意软件扫描工具


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650457749&idx=4&sn=c554c9c914371a80202d8d3e55c53f08&chksm=83bba371b4cc2a67d2005a40b306262a618b79a9e57523db5dc8e5a8751d40449ee1d91ea195#rd
如有侵权请联系:admin#unsafe.sh