Smuggler – HTTP 请求走私/异步测试工具

Smuggler是 GitHub 上提供的免费开源工具。 smuggler 工具用于对域执行 HTTP 请求走私攻击。 HTTP请求走私是网站从服务器处理到浏览器时执行的攻击。黑客可以利用此漏洞来利用网站。这可用于通过查找域的TECL和CELT来获得对重要数据的未经授权的访问。此攻击可用于破坏与网站和 Web 应用程序关联的其他 Web 应用程序。这种攻击可以通过使用内容长度头波动和传输编码头来执行。

安全同意

在扫描任何目标或任何域时，您必须具有扫描权限，这一点非常重要。在扫描任何目标或域之前，请获得域/目标所有者的适当授权。 smuggler工具发送多个有效载荷来扫描网站并检测漏洞。这可能会损害网站的后端。如果任何有效负载损害后端，则后端套接字可能会中毒。该网站将无法正常运行，也不会在浏览器上加载。建议在扫描前征得网站所有者的许可。

安装

第 1 步：打开您的 kali Linux 操作系统并使用以下命令安装该工具。使用第二个命令移动到工具的目录。

git clone https://github.com/defparam/smuggler.git
cd smuggler

第 2 步：现在使用以下命令运行该工具。

python3 smuggler.py -h

该工具正在成功运行。现在我们将看到使用该工具的示例。

用法

示例 1：使用 smuggler 工具查找 TECL 和 CELT 进行 HTTP 走私攻击。 （扫描一个网址）

python3 smuggler.py -u 

该工具发现了可用于执行 HTTP http 走私的 TECL 和 CLTE。

示例 2：使用 smuggler 工具查找 TECL 和 CELT 进行 HTTP 走私攻击。

python3 smuggler.py -u 

该工具发现了可用于执行 HTTP 走私的 TECL 和 CLTE。