📜  CRLFuzz – 一个用 Go 编写的扫描 CRLF 漏洞的 Linux 工具(1)

📅  最后修改于: 2023-12-03 15:00:03.771000             🧑  作者: Mango

CRLFuzz – 一个用 Go 编写的扫描 CRLF 漏洞的 Linux 工具

CRLFuzz 是一款基于 Go 语言开发的 Linux 工具,主要用于扫描 CRLF(回车换行)漏洞。这种漏洞通常用于诱骗用户执行某些恶意操作,比如重定向到一个攻击者控制的网站,或者篡改 HTTP 响应内容。CRLFuzz 可以通过构造特定的 HTTP 请求,检测目标应用程序是否存在 CRLF 漏洞,进而帮助程序员找出潜在的安全问题。

特性
  • 支持 HTTP 和 HTTPS 协议
  • 支持多线程扫描
  • 支持自定义 HTTP 请求头和请求体
  • 支持自定义字典文件
  • 支持设置扫描超时时间
安装

CRLFuzz 可以通过 Go 的包管理器安装:

go get -u github.com/D4Vinci/CRLFuzz

或者下载源代码,并运行以下命令:

go build
使用

使用 CRLFuzz 很简单。以下例子演示了如何扫描一个目标 URL,使用默认字典文件:

./CRLFuzz -u "http://example.com"

以下例子演示了如何扫描一个目标 URL,使用自定义字典文件:

./CRLFuzz -u "http://example.com" -w "/path/to/wordlist.txt"

以下例子演示了如何扫描一个目标 URL,使用自定义请求头和请求体:

./CRLFuzz -u "http://example.com" -H "Cookie: session=12345" -d "param1=value1&param2=value2"

以下例子演示了如何扫描一个目标 URL,设置扫描超时时间为 3 秒:

./CRLFuzz -u "http://example.com" -t 3

更多命令行参数和使用方法,请参考 CRLFuzz 的官方文档。

结论

CRLFuzz 是一款非常简单实用的 CRLF 漏洞扫描工具,非常适合用于快速定位目标应用程序的安全漏洞。截至目前,CRLFuzz 已经获得了众多开源社区的支持和贡献,可以在 GitHub 上查看其最新版本的源代码和文档。如果您在使用过程中遇到问题,也可以在 GitHub 上提交 issue 或者联系开发者进行反馈。