您当前的位置:首页 > 电脑百科 > 程序开发 > 框架

Xepor:一款针对逆向工程和安全分析的Web路由框架

时间:2022-06-06 20:42:05  来源:  作者:白帽hacker淬炼

Xepor是一款专为逆向分析工程师和安全研究专家设计的Web路由框架,该工具可以为研究人员提供类似Flask API的功能,支持以人类友好的方式拦截和修改HTTP请求或HTTP响应信息。

该项目需要与mitmproxy一起结合使用,用户可以使用Xepor来编写脚本,并在mitmproxy中使用下列命令来运行脚本:

mitmproxy -s your-script.py

功能介绍

1、使用@api.route()来编码,和Flask类似,支持在一个脚本中完成所有任务。

2、支持处理多条URL路由,甚至可以在一个InterceptedAPI实例中处理多台主机。

3、针对每个路由,可以选择在连接到服务器之前修改请求,或者在转发给用户之前修改响应。

4、支持黑名单模式或白名单模式。

5、支持正则表达式匹配。

6、通过主机重映射定义跟匹配URL路径。

7、结合mitmproxy实现更强大的功能。

使用场景

1、通过MitM实现AP安全测试和网络钓鱼测试;

2、通过iptables+透明代理嗅探来自特定设备的流量,使用Xepor动态修改Payload;

3、用大约100行代码编写复杂的网络爬虫...

工具下载

源码下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://Github.com/xepor/xepor.git

pip安装

pip install xepor

工具使用

我们以项目中examples/httpbin内的脚本为例给大家演示该工具的使用:

mitmweb --web-host=* --set connection_strategy=lazy -s example/httpbin/httpbin.py

在这个离职中,我们配置mitmproxy服务器的地址为127.0.0.1,你也可以将其修改为设备的其他IP地址。如果需要让mitmproxy服务器以反向、上游和透明模式运行的话,则需要设置下列参数:

--set connection_strategy=lazy

此时Xepor将会正常功能工作,我们也建议设置该选项以保证工具的稳定运行。

接下来将浏览器HTTP代理设置为“http://127.0.0.1:8080”,并在浏览器中访问“http://127.0.0.1:8081/”

然后,通过“http://httpbin.org/#/HTTP_Methods/get_get”发送一个GET请求,然后你将可以通过Xepor的mitmweb接口、浏览器开发者工具或Wireshark对数据请求进行修改。

httpbin.py会做下列两件事情:

1、当用户访问“http://httpbin.org/get”时,向HTTP请求中注入一个查询字符串参数“payload=evil_param”;

2、当用户访问“
http://httpbin.org/basic-auth/xx/xx/”时,从HTTP请求中嗅探“Authorization” Header,并将密码打印给研究人员;

任务其实和mitmproxy做的类似,但我们可以通过Xepor的方式来编写代码:

# https://github.com/xepor/xepor-examples/tree/mAIn/httpbin/httpbin.py

from mitmproxy.http import HTTPFlow

from xepor import InterceptedAPI, RouteType

HOST_HTTPBIN = "httpbin.org"

api = InterceptedAPI(HOST_HTTPBIN)

@api.route("/get")

def change_your_request(flow: HTTPFlow):

    """

    Modify URL query param.

    Test at:

    http://httpbin.org/#/HTTP_Methods/get_get

    """

    flow.request.query["payload"] = "evil_param"

@api.route("/basic-auth/{usr}/{pwd}", rtype=RouteType.RESPONSE)

def capture_auth(flow: HTTPFlow, usr=None, pwd=None):

    """

    Sniffing password.

    Test at:

    http://httpbin.org/#/Auth/get_basic_auth__user___passwd_

    """

    print(

        f"auth @ {usr} + {pwd}:",

        f"Captured {'successful' if flow.response.status_code < 300 else 'unsuccessful'} login:",

        flow.request.headers.get("Authorization", ""),

    )

addons = [api]

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Xepor:https://github.com/xepor/xepor



Tags:路由框架   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
货拉拉 Android 模块化路由框架:TheRouter
本文作者:张涛-货拉拉TheRouter 是一个 Kotlin 编写,用于 Android 模块化开发的一整套解决方案框架。Github 项目地址与使用文档详见 https://github.com/HuolalaTech/hll-wp-...【详细内容】
2022-09-20  Search: 路由框架  点击:(478)  评论:(0)  加入收藏
Xepor:一款针对逆向工程和安全分析的Web路由框架
Xepor是一款专为逆向分析工程师和安全研究专家设计的Web路由框架,该工具可以为研究人员提供类似Flask API的功能,支持以人类友好的方式拦截和修改HTTP请求或HTTP响应信息。该...【详细内容】
2022-06-06  Search: 路由框架  点击:(382)  评论:(0)  加入收藏
▌简易百科推荐
Qt与Flutter:在跨平台UI框架中哪个更受欢迎?
在跨平台UI框架领域,Qt和Flutter是两个备受瞩目的选择。它们各自具有独特的优势,也各自有着广泛的应用场景。本文将对Qt和Flutter进行详细的比较,以探讨在跨平台UI框架中哪个更...【详细内容】
2024-04-12  刘长伟    Tags:UI框架   点击:(7)  评论:(0)  加入收藏
Web Components实践:如何搭建一个框架无关的AI组件库
一、让人又爱又恨的Web ComponentsWeb Components是一种用于构建可重用的Web元素的技术。它允许开发者创建自定义的HTML元素,这些元素可以在不同的Web应用程序中重复使用,并且...【详细内容】
2024-04-03  京东云开发者    Tags:Web Components   点击:(11)  评论:(0)  加入收藏
Kubernetes 集群 CPU 使用率只有 13% :这下大家该知道如何省钱了
作者 | THE STACK译者 | 刘雅梦策划 | Tina根据 CAST AI 对 4000 个 Kubernetes 集群的分析,Kubernetes 集群通常只使用 13% 的 CPU 和平均 20% 的内存,这表明存在严重的过度...【详细内容】
2024-03-08  InfoQ    Tags:Kubernetes   点击:(23)  评论:(0)  加入收藏
Spring Security:保障应用安全的利器
SpringSecurity作为一个功能强大的安全框架,为Java应用程序提供了全面的安全保障,包括认证、授权、防护和集成等方面。本文将介绍SpringSecurity在这些方面的特性和优势,以及它...【详细内容】
2024-02-27  风舞凋零叶    Tags:Spring Security   点击:(62)  评论:(0)  加入收藏
五大跨平台桌面应用开发框架:Electron、Tauri、Flutter等
一、什么是跨平台桌面应用开发框架跨平台桌面应用开发框架是一种工具或框架,它允许开发者使用一种统一的代码库或语言来创建能够在多个操作系统上运行的桌面应用程序。传统上...【详细内容】
2024-02-26  贝格前端工场    Tags:框架   点击:(52)  评论:(0)  加入收藏
Spring Security权限控制框架使用指南
在常用的后台管理系统中,通常都会有访问权限控制的需求,用于限制不同人员对于接口的访问能力,如果用户不具备指定的权限,则不能访问某些接口。本文将用 waynboot-mall 项目举例...【详细内容】
2024-02-19  程序员wayn  微信公众号  Tags:Spring   点击:(43)  评论:(0)  加入收藏
开发者的Kubernetes懒人指南
你可以将本文作为开发者快速了解 Kubernetes 的指南。从基础知识到更高级的主题,如 Helm Chart,以及所有这些如何影响你作为开发者。译自Kubernetes for Lazy Developers。作...【详细内容】
2024-02-01  云云众生s  微信公众号  Tags:Kubernetes   点击:(58)  评论:(0)  加入收藏
链世界:一种简单而有效的人类行为Agent模型强化学习框架
强化学习是一种机器学习的方法,它通过让智能体(Agent)与环境交互,从而学习如何选择最优的行动来最大化累积的奖励。强化学习在许多领域都有广泛的应用,例如游戏、机器人、自动驾...【详细内容】
2024-01-30  大噬元兽  微信公众号  Tags:框架   点击:(72)  评论:(0)  加入收藏
Spring实现Kafka重试Topic,真的太香了
概述Kafka的强大功能之一是每个分区都有一个Consumer的偏移值。该偏移值是消费者将读取的下一条消息的值。可以自动或手动增加该值。如果我们由于错误而无法处理消息并想重...【详细内容】
2024-01-26  HELLO程序员  微信公众号  Tags:Spring   点击:(95)  评论:(0)  加入收藏
SpringBoot如何实现缓存预热?
缓存预热是指在 Spring Boot 项目启动时,预先将数据加载到缓存系统(如 Redis)中的一种机制。那么问题来了,在 Spring Boot 项目启动之后,在什么时候?在哪里可以将数据加载到缓存系...【详细内容】
2024-01-19   Java中文社群  微信公众号  Tags:SpringBoot   点击:(91)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条