关于Forbidden-Buster

Forbidden-Buster是一款功能强大的Web应用程序安全测试工具，该工具专为红队研究人员设计，可以通过自动化的形式并采用多种技术绕过HTTP 401和HTTP 403响应码，通过访问目标系统的未授权区域，来测试目标Web应用程序的安全态势。

功能介绍

1、探测HTTP 401和HTTP 403响应码并发现和识别潜在的绕过技术；

2、使用各种技术方法和Header测试和绕过访问控制限制；

3、支持通过命令行参数自定义工具行为；

4、新增API模糊测试方法，支持探测不同的API版本并修改实时数据；

5、移除了数据发送频率限制功能；

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Sn1r/Forbidden-Buster.git

然后切换到项目目录中，使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件：

cd Forbidden-Buster

pip3 install -r requirements.txt

工具运行

工具安装完成之后，可以直接使用下列命令针对目标待测站点执行工具脚本：

python3 forbidden_buster.py -u http://example.com

工具参数选项

当前版本的Forbidden-Buster支持使用下列参数命令选项控制脚本行为：

-h, --help             显示工具帮助信息和退出

  -u URL, --url URL      待测Web应用程序的完整URL路径

  -m METHOD, --method METHOD

                        要使用的测试方法，默认为GET

  -H HEADER, --header HEADER

                        添加一个自定义Header

  -d DATA, --data DATA  向请求Body中添加数据，支持JSON格式数据

  -p PROXY, --proxy PROXY

                        设置并使用代理

  --include-unicode      引入Unicode模糊测试（速度慢）

  --include-user-agent   引入User-Agent模糊测试（速度慢）

  --include-api          引入API模糊测试

工具使用样例

python3 forbidden_buster.py --url "https://example.com/api/v1/secret" --method POST --header "Authorization: Bearer XXX" --data '{\"key\":\"value\"}' --proxy "http://proxy.example.com" --include-api --include-unicode

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Forbidden-Buster：【GitHub传送门】