中贤建设集团网站,会议网站,室内设计联盟邀请码,营销型网站设计的内容关于Xepor
Xepor是一款专为逆向分析工程师和安全研究专家设计的Web路由框架#xff0c;该工具可以为研究人员提供类似Flask API的功能#xff0c;支持以人类友好的方式拦截和修改HTTP请求或HTTP响应信息。
该项目需要与mitmproxy一起结合使用#xff0c;用户可以使用Xepor…关于Xepor
Xepor是一款专为逆向分析工程师和安全研究专家设计的Web路由框架该工具可以为研究人员提供类似Flask API的功能支持以人类友好的方式拦截和修改HTTP请求或HTTP响应信息。
该项目需要与mitmproxy一起结合使用用户可以使用Xepor来编写脚本并在mitmproxy中使用下列命令来运行脚本
mitmproxy -s your-script.py功能介绍 1、使用api.route()来编码和Flask类似支持在一个脚本中完成所有任务。 2、支持处理多条URL路由甚至可以在一个InterceptedAPI实例中处理多台主机。 3、针对每个路由可以选择在连接到服务器之前修改请求或者在转发给用户之前修改响应。 4、支持黑名单模式或白名单模式。 5、支持正则表达式匹配。 6、通过主机重映射定义跟匹配URL路径。 7、结合mitmproxy实现更强大的功能。 使用场景 1、通过MitM实现AP安全测试和网络钓鱼测试 2、通过iptables透明代理嗅探来自特定设备的流量使用Xepor动态修改Payload 3、用大约100行代码编写复杂的网络爬虫… 工具下载
源码下载
广大研究人员可以使用下列命令将该项目源码克隆至本地
git clone https://github.com/xepor/xepor.gitpip安装
pip install xepor工具使用
我们以项目中[ examples/httpbin](https://github.com/xepor/xepor- examples/tree/main/httpbin/)内的脚本为例给大家演示该工具的使用
mitmweb --web-host\* --set connection_strategylazy -s example/httpbin/httpbin.py在这个离职中我们配置mitmproxy服务器的地址为127.0.0.1你也可以将其修改为设备的其他IP地址。如果需要让mitmproxy服务器以反向、上游和透明模式运行的话则需要设置下列参数
--set connection_strategylazy此时Xepor将会正常功能工作我们也建议设置该选项以保证工具的稳定运行。
接下来将浏览器HTTP代理设置为“http://127.0.0.1:8080”并在浏览器中访问“http://127.0.0.1:8081/”
然后通过“http://httpbin.org/#/HTTP_Methods/get_get”发送一个GET请求然后你将可以通过Xepor的mitmweb接口、浏览器开发者工具或Wireshark对数据请求进行修改。
httpbin.py会做下列两件事情 1、当用户访问“http://httpbin.org/get”时向HTTP请求中注入一个查询字符串参数“payloadevil_param” 2、当用户访问“http://httpbin.org/basic-auth/xx/xx/”时从HTTP请求中嗅探“Authorization” Header并将密码打印给研究人员 任务其实和mitmproxy做的类似但我们可以通过Xepor的方式来编写代码
# https://github.com/xepor/xepor-examples/tree/main/httpbin/httpbin.pyfrom mitmproxy.http import HTTPFlowfrom xepor import InterceptedAPI, RouteTypeHOST_HTTPBIN httpbin.orgapi InterceptedAPI(HOST_HTTPBIN)api.route(/get)def change_your_request(flow: HTTPFlow):Modify URL query param.Test at:http://httpbin.org/#/HTTP_Methods/get_getflow.request.query[payload] evil_paramapi.route(/basic-auth/{usr}/{pwd}, rtypeRouteType.RESPONSE)def capture_auth(flow: HTTPFlow, usrNone, pwdNone):Sniffing password.Test at:http://httpbin.org/#/Auth/get_basic_auth__user___passwd_print(fauth {usr} {pwd}:,fCaptured {successful if flow.response.status_code 300 else unsuccessful} login:,flow.request.headers.get(Authorization, ),)addons [api]网络安全工程师企业级学习路线
这时候你当然需要一份系统性的学习路线
如图片过大被平台压缩导致看不清的话可以在文末下载无偿的大家也可以一起学习交流一下。 一些我收集的网络安全自学入门书籍 一些我白嫖到的不错的视频教程 上述资料【扫下方二维码】就可以领取了无偿分享
