乐博百万游戏注册登录_乐博赚百万_乐博百万

    
当前位置:首页乐博百万游戏登录网正文
admin

傲骨贤妻,AuthCov:开源Web应用程序授权匍匐和扫描东西

  2周前 (02-14)     178     0
简介:AuthCov:开源Web应用程序授权爬行和扫描工具...

介绍

AuthCov是一款用于Web运用扫描东西,AuthCov运用Chrome阅读器阻拦并记载API恳求以及在加载阶段的页面。然后,它以不同的帐户登录,并测验拜访从前发现的每个API恳求或页面。重复此进程。最终,它会生成一份具体的陈述,列出发现的资源以及钓鱼岛侵略者用户是否能够拜访这傲骨贤妻,AuthCov:开源Web运用程序授权爬行和扫描东西些资源。

特色

1.适用于单页运用程序和传统的多页运用程序

2.处理根据令牌和根据cookie的身份验证机制

3.生成HTML格局的陈述

4.能够在陈述中检查爬取的每个页面的截图

1.适用于单页运用程序和传统的多页运用程序

2.处理根据令牌和根据cookie的身份验证机制

冬月枫
最快速的简易钻木取火
借款渠道

3.生成HTML格局的陈述

4.能够在陈述中检查爬取的每个页面的截图

装置node 10. 然后运转:

$ npm install -g穆勒 authcov 用法

为您要扫描的站点生成一个装备:

$ authcov new myconfig.js

更新myconfig.js中的值

经过运转此指令来测验您的装备值,保证阅读器能够登录。

傲骨贤妻,AuthCov:开源Web运用程序授权爬行和扫描东西

$ authcov test-login myconfig.js --headless=false

抓取网站:

$ authcov crawl myconfig.js

测验在爬取阶段发现资源:

$ authcov intrude mycon城南旧事好词好句fig.js

在以下方位检查生成的陈述: ./tmp/report/index.html

装备

能够在装备文件中设置以下选项:

选项 类型 描绘 baseUrl 新辉腾串 网站的URL。这便是爬虫的起点。 crawlUser 目标 用户在其下爬行网站。例:{“username”: “admin”, “password”: “1234″} intruders 数组 将爬取发现的api端点和页面的用户。一般,这些用户将具有与crawlUser相同的特权。要以未登录用户身份侵略,请增加用户名“ Public”和暗码为空的用户。例:[{"username": "john", "password": "4321"}, {"username": "Public", "password": null}] type 串 这是单页运用程序(即查询API后端的java前端)仍是更“传统”的多页运用程序。(挑选”mpa”或”spa”)。 authenticationType 串 该网站是否运用阅读器发送的cookie或恳求标头中发送的令牌对用户进行身份验证,关于MPA,将其设置为”cookie”。在SPA中,能够是”cookie”或”token”。 authorisationHeaders 数组 为了验证用户,需求发送哪些恳求标头,假如authenticationType = cookie,则应将其设置为["cookie"]。假如authenticationType = token,则:["X-Auth-Token"]。 maxDepth 整数 爬取的最大深度。主张从1开端。 verboseOutput 布尔值 具体输出,关于调试很有用。 saveResponses 布尔值 保存来自API的呼应正文,以便您能够在陈述中检查它们。 saveScreenshots 布尔值 保存已抓取页面的阅读器屏幕截图,以便您能够在陈述中检查它们。 clickButtons 布尔值 (试验功用)在每个页会阴面上进行了爬取,单击该页面上的一切按钮并记载一切宣布的API恳求。在经过形式,弹出窗口等具有很多用户互动的网站上提臀来见十分event有用。 xhrTimeout 整数 搜索每个页面时等候XHR恳求完结的时刻。(秒) pageTimeout 整数 爬取时等候页面加载的时刻。(秒) headless 布尔值 将此值设置为false可使爬虫程序翻开chrome阅读器,以便您能够实时检查抓取进程。 unAuthorizedStatusCodes 数组 HTTP呼应状况代码,用于决议是否向恳求它的用户授权API端点或页面。(可选)界说一个函数responseIsAuthorised来确认恳求是否被授权。例:[401, 403, 404] ignoreLinksIncluding 数组 扫除此数组中包括任何字符串的URL。例如,假如设置为,["/logout"]则不会抓取URL: http://localhost:3000/logout。(可选)在下面界说一个函数ignoreLin傲骨贤妻,AuthCov:开源Web运用程序授权爬行和扫描东西k(url),以确认是否应爬网URL。 ignoreAPIrequestsIncluding 数组 扫除包括此数组中任何字符串的URL进行的API记载。(可选)界说一个函数ignoreApiRequest(url)以确认是否应记载恳求。 ignoreButtonsIncluding 数组 假如clickButtons设置为true,则不要单击外部HTML包括此数组中任何字符串的按钮。(可选)在下面界说一个函数i傲骨贤妻,AuthCov:开源Web运用程序授权爬行和扫描东西gnoreButton(url)。 loginConfig 宾语 装备阅读器怎样登录到您的Web运用程序。(可选)界说一个异步函数loginFunction(页面,用户名,暗码) cookiesTriggeringPage 串 (可选)当authenticationType = cookie时,这将设置一个页面,以便侵略者阅读到此页面,然后从阅读器捕获cookie。假如站点在cookie上设置途径字段,这将很有用。默以为options.baseUrl。 tokenTriggeringPage 串 (可选)当authenticationType = token时,将设置一个页面,以便侵略者阅读到此页面,然后从阻拦的API恳求中捕获authorisationHeader。假如站点的baseUrl没有宣布任何AP枇杷怎样吃I恳求,因而安汇宝无法捕获该页面的auth标头,则此办法很有用。默以为options.baseUrl。 装备登录

有两种办法能够在装备文件中装备登录名:

运用默许的登录机制,该机制运用puppeteer将用户名和暗码输入到指定的输入中,然后单击指定的提交按钮。能够经过这样loginConfig在装备文件中设置选项进行装备。也请参见此示例。

"loginConfig": { "url": "http://localhost/login", "usernameXpath": "input[name=email]", "passwordXpath": "input[name=password]", "submitXpath": "#login-button" }

假如您的登录表单更杂乱而且触及更多的用户交互,那么您能够在装备文件中定3d动漫义自己的puppeteer函数,如下所示。也请参见此示例。

"loginFunction": async function(page, username, password){ await page.goto('http://localhost:3001/users/sign_in'); await page.waitForSelector('input[type=心慌email]'); await page.waitForSelector('傲骨贤妻,AuthCov:开源Web运用程序授权爬行和扫描东西input[type李秉修微博=password]'); await page.type('input[type=email]', username); await page.type('input[type=password]', password); await page.tap('input[type=submit]'); await page.waitFor(50麂0); return; }

authcov test-login为了使阅读器成功登录,请不要在头部形式下运转该指令。

奉献 单元测验: $ npm test test/unit 集成测验:

首要下载并运转示例运用程序。然后运转测验:

$ npm test test/integration

*参阅来历:gi鸽虱thub,FB小编周大涛编译,转载请注明来自FreeBuf.COM

扶沟气候
愿望国度
声明感谢您对我们网站的认可,非常欢迎各位朋友分享本站内容到个人网站或者朋友圈,
转转请注明出处:http://jlf86.com/articles/1806.html
点赞 打赏

打赏方式:

支付宝扫一扫

微信扫一扫

扫一扫
QQ客服:111111111
工作日: 周一至周五
工作时间: 9:00-18:00