Bolt 一款CSRF扫描工具

2019 年 5 月 23 日 黑白之道




工作流程

爬行
Bolt将目标网站抓取到指定的深度,并存储在数据库中找到的所有HTML表单以供进一步处理。

评估
在这个阶段,博尔特发现了不够强大的代币和不受保护的形式。

Comparing
此阶段的重点是检测重放攻击情形,从而检查令牌是否已发出多次。它还计算所有令牌之间的平均levenshtein距离,看它们是否相似。
还将令牌与250 散列模式的数据库进行比较。
观察
在此阶段,对单个网页发出100个同时请求,以查看是否为请求生成了相同的令牌。

测试
此阶段专门用于CSRF保护机制的主动测试。它包括但不限于检查移动浏览器是否存在保护,使用自生成令牌提交请求以及测试令牌是否被检查到一定长度。
分析
在该阶段中执行各种统计检查以查看令牌是否真的是随机的。在此阶段进行以下测试
单比特频率测试
块频率测试
运行测试
非重叠模板匹配测试
重叠模板匹配测试
串行测试
Cumultative sums测试


用法

python3 bolt.py -u 
https://github.com -l 2
-u用于提供URL和-l用来指定爬行的深度。

其他选项:

-t 线程数
--delay 请求之间的延迟
--timeout http请求超时
--headers 提供http标头

文章参考及下载:
https://github.com/s0md3v/Bolt

你可能喜欢

CVE-2019-5418 漏洞扫描工具

SQL注入被动扫描工具

RouterhunterBR 2.0 - 路由器漏洞自动化扫描工具

登录查看更多
1

相关内容

数据库( Database )或数据库管理系统( Database management systems )是按照数据结构来组织、存储和管理数据的仓库。目前数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
【课程】伯克利2019全栈深度学习课程(附下载)
专知会员服务
56+阅读 · 2019年10月29日
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
CALDERA 一款对手自动模拟工具
黑白之道
20+阅读 · 2019年9月17日
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
超级!超级!超级好用的视频标注工具
极市平台
8+阅读 · 2018年12月27日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
Arxiv
15+阅读 · 2020年2月6日
Arxiv
3+阅读 · 2019年9月5日
Arxiv
3+阅读 · 2018年4月9日
Arxiv
8+阅读 · 2018年4月8日
Arxiv
3+阅读 · 2015年5月16日
VIP会员
相关资讯
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
CALDERA 一款对手自动模拟工具
黑白之道
20+阅读 · 2019年9月17日
用 Python 开发 Excel 宏脚本的神器
私募工场
26+阅读 · 2019年9月8日
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
超级!超级!超级好用的视频标注工具
极市平台
8+阅读 · 2018年12月27日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
Top
微信扫码咨询专知VIP会员