0xInfection/XSRFProbe

GitHub: 0xInfection/XSRFProbe

一款基于 Python 的高级跨站请求伪造(CSRF)漏洞审计与利用工具包,集爬虫、检测、Token 分析和 PoC 生成为一体。

Stars: 1287 | Forks: 219


xsrfprobe

XSRFProbe

The Prime Cross Site Request Forgery Audit & Exploitation Toolkit.

### 关于: __XSRFProbe__ 是一个高级的[跨站请求伪造](https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)) (CSRF/XSRF) 审计与漏洞利用工具包。它配备了一个强大的爬虫引擎和众多系统性的检查机制,能够检测出绝大多数的 CSRF 漏洞情况及其相关的绕过方式,并进一步为每个发现的漏洞生成(恶意的)漏洞利用概念验证。有关 XSRFProbe 工作原理的更多信息,请参阅 [wiki](https://github.com/0xInfection/XSRFProbe/wiki/) 上的 [XSRFProbe 内部机制](https://github.com/0xInfection/XSRFProbe/wiki#xsrfprobe-internals)。 xsrf-logo

XSRFProbe WikiGetting StartedGeneral UsageAdvanced UsageXSRFProbe InternalsGallery

### 部分特性: - [x] 在将一个端点声明为存在漏洞之前,会执行[多种类型的检查](https://github.com/0xInfection/XSRFProbe/wiki/XSRFProbe-Internals#types-of-checks)。 - [x] 能够检测 POST 请求中多种类型的 Anti-CSRF token。 - [x] 配备了功能强大的爬虫,支持持续爬取与扫描。 - [x] 开箱即用的自定义 cookie 值和通用 headers 支持。 - [x] 使用各种算法进行精准的 [Token 强度检测](https://github.com/0xInfection/XSRFProbe/wiki/XSRFProbe-Internals#token-randomness-calculation)与[分析](https://github.com/0xInfection/XSRFProbe/wiki/XSRFProbe-Internals#post-scan-token-analysis)。 - [x] 能够生成常规的以及恶意可利用的 CSRF 概念验证。 - [x] [文档详尽的代码](https://github.com/0xInfection/XSRFProbe/tree/master?files=1)和[高度通用的自动化工作流](https://github.com/0xInfection/XSRFProbe/wiki#xsrfprobe-internals)。 - [x] 无论扫描器执行什么操作,用户都可以[控制一切](https://github.com/0xInfection/XSRFProbe/wiki/Advanced-Usage#xsrfprobe-configuration-variables)。 - [x] 具备友好的用户交互环境,并完全支持 verbose 模式。 - [x] 详细的错误、漏洞、token 及其他信息的日志记录系统。 ### 图库: 让我们看看 XSRFProbe 运行中的一些实际场景: ### 用法: #### 通过 Pypi 安装: XSRFProbe 可以通过单条命令轻松安装: ``` pip install xsrfprobe ``` #### 手动安装: - 首先,第一步是安装该工具: ``` python3 setup.py install ``` - 现在,可以通过以下命令启动该工具: ``` xsrfprobe --help ``` - 在对某个站点进行 XSRFProbe 测试后,会在您当前的工作目录下创建一个名为 `xsrfprobe-output` 的输出文件夹。在此文件夹中,您可以查看扫描期间收集的详细日志和信息。 ### 版本与许可: XSRFProbe `v2.3` 版本是一个 `第 5 阶段生产就绪(稳定)` 版本,该项目的工作基于 [GNU General Public License (GPLv3)](https://www.gnu.org/licenses/gpl-3.0.en.html) 授权。 ### 警告: 请勿在运行中的生产网站上使用此工具! 这是因为该工具旨在自动执行各种类型的表单提交,这可能会对网站造成破坏。有时您可能会弄乱数据库,并且极有可能对该网站造成 DoS 攻击。 请在可随时销毁的测试/虚拟环境或网站上测试! ### 免责声明: 在未事先达成一致的情况下使用 XSRFProbe 测试网站可被视为违法行为。最终用户有责任遵守所有适用的地方、州和联邦法律。作者不承担任何责任,也不对本程序造成的任何滥用或损害承担全部责任。 ### 作者寄语: 本项目__完全基于我自己的研究以及我在 Web 应用程序上应对跨站请求伪造攻击的经验__。您可以尝试阅读源代码,代码拥有详尽的注释,有助于您了解此工具包是如何构建的。我们非常欢迎有用的 [pull requests](https://github.com/0xInfection/XSRFProbe/wiki/Contributing)、[想法和问题](https://github.com/0xInfection/XSRFProbe/wiki/Reporting-Bugs#before-submitting)。如果您想了解 XSRFProbe 的开发进展,请查看 [开发看板](https://github.com/0xInfection/XSRFProbe/projects/1)。
标签:BeEF, CISA项目, CSRF, PoC生成, Python, Web安全, XSRF, 数据展示, 无后门, 漏洞审计, 爬虫, 红队, 网络安全, 蓝队分析, 跨站请求伪造, 隐私保护