CLZero es un poderoso programa que ayuda a los expertos en seguridad y evaluadores de penetración a encontrar y utilizar vectores de ataque de contrabando de solicitudes HTTP/1.1 CL.0.
El contrabando de solicitudes es una vulnerabilidad de seguridad importante en las aplicaciones web que puede provocar piratería y fuga de datos. CLZero se basa en la herramienta Smuggler y utiliza herramientas de ataque modificadas del trabajo de Smuggler.
Esta herramienta demuestra la capacidad de colaboración de la comunidad de defensa. Gracias a @albinowax, @defparam y @d3d por su trabajo en CLZero.
CLZero facilita el descubrimiento y la explotación de vulnerabilidades de contrabando de solicitudes en aplicaciones web. Esto lo convierte en una herramienta importante para el personal de seguridad. Tiene muchas características, como la capacidad de manejar URL de destino únicas y múltiples, cargar perfiles para cargas útiles personalizadas y continuar desde donde lo dejó el último análisis.
Este artículo describirá cómo usar, instalar y personalizar CLZero, lo que ayudará a los investigadores y evaluadores de seguridad a mejorar la seguridad de las aplicaciones web.
Proyecto para ofuscar vectores de ataque de contrabando de solicitudes HTTP/1.1 CL.0.
acerca de
Gracias a @albinowax, @defparam y @d3d, de lo contrario esta herramienta no existiría.Inspírate con las herramientas contrabandista Todas las herramientas de ataque están adaptadas de contrabandistas y asociación
Para más información, ver: asociación
uso
usage: clzero.py [-h] [-url URL] [-file FILE] [-index INDEX] [-verbose] [-no-color] [-resume] [-skipread] [-quiet] [-lb] [-config CONFIG] [-method METHOD]
CLZero by Moopinger
optional arguments:
-h, --help show this help message and exit
-url URL (-u), Single target URL.
-file FILE (-f), Files containing multiple targets.
-index INDEX (-i), Index start point when using a file list. Default is first line.
-verbose (-v), Enable verbose output.
-no-color Disable colors in HTTP Status
-resume Resume scan from last index place.
-skipread Skip the read response on smuggle requests, recommended. This will save a lot of time between requests. Ideal for targets with standard HTTP traffic.
-quiet (-q), Disable output. Only successful payloads will be written to ./payloads/
-lb Last byte sync method for least request latency. Due to the nature of the request, it cannot guarantee that the smuggle request will be processed first. Ideal for targets with a high
amount of traffic, and you do not mind sending multiple requests.
-config CONFIG (-c) Config file to load, see ./configs/ to create custom payloads
-method METHOD (-m) Method to use when sending the smuggle request. Default: POSTAtaque de un solo objetivo:
python3 clzero.py -u -c configs/default.py -skipreadpython3 clzero.py -u -c configs/default.py -lb
Ataque multiobjetivo:
python3 clzero.py -l urls.txt -c configs/default.py -skipreadpython3 clzero.py -l urls.txt -c configs/default.py -lb
Instalar
git clone
cd CLZero
pip3 install -r requirements.txt
