java-web自动化鉴权绕过 -- NoAuth

文章预览

=================================== 免责声明 请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络， 安全性自测 ，如有侵权请联系删除。个人微信： ivu123ivu 0x01 工具介绍 审Java代码的时候，经常会遇到接口因鉴权问题被组合拳getshell，例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间，花了点时间分析总结了下网上所有与Java鉴权有关的问题，写了这工具，主要用于动态生成可能用于绕过的payload进行fuzz测试。默认发送Get、Post-Form-datas、POST-json 数据包。 0x02 安装与使用 NoAuth -n 不需要鉴权的接口地址(如/login、/register、/index.jsp、index.html等) -a 需要鉴权的接口地址 -u url地址 NoAuth -n /login -a /admin/adduser -u http: //loc ………………………………