一款黑盒越权测试工具

文章预览

一、工具介绍 一款黑盒越权测试工具 二、安装 python3 # 安装所需的 python 依赖 pip install requests pip install PyQt6 三、主要功能 1、发送请求 选择 http/https ， 获取用户认证相关请求头，填入 筛选请求头 （如Cookie,X-Csrf-Token） 从burp复制需要测试的请求到 request （和 请求头1 ） 点击 run ， request 中的请求头会被 请求头1 中的请求头“替换”，然后发送请求，响应在 response 中显示。 规则： (1)、“替换”发生在发送请求时，request中的文本内容不会改变； (2)、请求头n中只会保留筛选请求头配置的项，所以不需要一个一个复制请求头，复制整个请求即可； 2、越权测试 同理，在请求头2中，填入另一个用户的请求头，就可以快速用两个用户的凭证测试同一个接口是否存在越权。 四、附加功能 1、删除指定请求头 不需要删除request中的请求头，在删除指定请求头中 ………………………………