专栏名称: Web安全工具库
将一些好用的web安全工具和自己的学习笔记分享给大家。。。
目录
相关文章推荐
西藏生态环境保护  ·  学辐射环评知识 ... ·  21 小时前  
西藏生态环境保护  ·  学辐射环评知识 ... ·  21 小时前  
环保人  ·  大气评价等级判定是按拟建工程源强还是按包括现 ... ·  昨天  
新疆生态环境  ·  送法入企助发展,环保合规促提升 ·  昨天  
新疆生态环境  ·  送法入企助发展,环保合规促提升 ·  昨天  
环保人  ·  车间内布袋除尘器出口能否不设排气筒?还是一定 ... ·  2 天前  
环保人  ·  怎么区分《环评名录》中126引水工程和128 ... ·  3 天前  
51好读  ›  专栏  ›  Web安全工具库

java-web自动化鉴权绕过 -- NoAuth

Web安全工具库  · 公众号  ·  · 2024-08-02 00:00

正文

===================================

免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络, 安全性自测 ,如有侵权请联系删除。个人微信: ivu123ivu

0x01 工具介绍

审Java代码的时候,经常会遇到接口因鉴权问题被组合拳getshell,例如泛微和海康安防这些系统。为了平时审代码与绕鉴权时节省点时间,花了点时间分析总结了下网上所有与Java鉴权有关的问题,写了这工具,主要用于动态生成可能用于绕过的payload进行fuzz测试。默认发送Get、Post-Form-datas、POST-json 数据包。

0x02 安装与使用

NoAuth -n 不需要鉴权的接口地址(如/login、/register、/index.jsp、index.html等) -a 需要鉴权的接口地址 -u url地址 

NoAuth -n /login -a /admin/adduser -u http://localhost:8080/

如图,成功利用http://localhost:8080/Firstfilter/..;/FirstServlet 绕过鉴权 

NoAuth -n /login -a /admin/adduser -u http://localhost:8080/ -debug 1 ,添加 -debug 1 参数可查看所有请求 :

0x03 项目链接下载
1、点击阅读原文,从原项目地址下载。






请到「今天看啥」查看全文


推荐文章
西藏生态环境保护  ·  学辐射环评知识 筑高原安全防线—2025年西藏自治区辐射类建设项目环评技术审查培训班开班
21 小时前
西藏生态环境保护  ·  学辐射环评知识 筑高原安全防线—2025年西藏自治区辐射类建设项目环评技术审查培训班开班
21 小时前
环保人  ·  大气评价等级判定是按拟建工程源强还是按包括现有工程的?预测呢?有无环境部文件资料明确依据?
昨天
新疆生态环境  ·  送法入企助发展,环保合规促提升
昨天
新疆生态环境  ·  送法入企助发展,环保合规促提升
昨天
环保人  ·  车间内布袋除尘器出口能否不设排气筒?还是一定要设不低于15m高排气筒?
2 天前
环保人  ·  怎么区分《环评名录》中126引水工程和128河湖整治?有无明确依据?
3 天前
24楼影院  ·  一周豆瓣热门影视 | 乘风破浪有时尽,烂片绵绵无绝期
8 年前
青海网  ·  姑舅,小时候看过的这些魔性广告你还记得吗?看到第三条,简直不能忍……
7 年前
机器学习研究会  ·  【学习】基于成像环境约束的图像及视频感兴趣区域的篡改检测
7 年前
科学松鼠会  ·  金刚狼的告别式
7 年前
柴森物理  ·  一位妈妈写给叛逆儿子的信,值得所有父母学习,一定要读一读!
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!