- 工具仅可用作学习,以及经过授权的渗透测试,否则后果自负。
- 内置常见高频未授权访问路径字典
- 自动从前端js文件中提取泄露的接口进行测试
- 采用selenium框架实现对“#”传参网址的测试
- 安装依赖库
pip install -r requirements.txt
-
下载浏览器driver驱动
-
查看浏览器版本
-
下载对应版本驱动(若没有对应版本,可下载相近版本)
下载地址:https://registry.npmmirror.com/binary.html?path=chromedriver/
- 将driver移动到python3根目录
-
简单使用
-
❌使用姿势-->直接传入域名
-
✔使用姿势-->将需要测试的网址先用浏览器访问一遍,再复制地址传入
cd Unauthorized
python Unauthorized.py -u http://example.com
-
扩展使用
-
自定义字典参数解释
"info":提示信息。
"method":请求方法。
"url":测试未授权访问的路径。
"state":响应码,作为判断未授权的条件之一。
"re":正则匹配关键字,作为判断未授权的条件之一。
- 效果展示
v20230308
- 优化js提取,解决js重复提取问题。
- 去除自定义字典功能,新增自动输出html报告功能。
- 默认字典来自以下优先项目:
- RouteVulScan (https://github.com/F6JO/RouteVulScan)