自己写来测试未授权的代码

AdaTina

于 2022-09-14 18:27:33 发布

阅读量289

点赞数

分类专栏：菜鸟学安全文章标签： python

本文链接：https://blog.youkuaiyun.com/tainqiuer123/article/details/126857858

版权

菜鸟学安全专栏收录该内容

14 篇文章

订阅专栏

本文介绍如何使用Python进行URL验证，检测常见技术漏洞如Elasticsearch、SpringBoot Actuator等，并提供示例代码。通过输入URL直接测试，发现并防止200状态码的未授权访问问题。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

需要进行人工验证，以返回200为例，为了测试方便整理下，需要输入http://url/回车即可输出结果：

import urllib3,json
#生成manager实例，一个manager实例可以同时处理多个请求
url=input("请输入需要验证未授权的网址:")
http=urllib3.PoolManager()

url_list=["_nodes","actuator/env","autoconfig","nacos/v1/auth/users/?pageNo=1&pageSize=9","druid/index.html",
          "cluster","manage","solr/admin"]

url_instruct=["Elasticsearch未授权访问","SpringBoot Actuator未授权访问","SpringBoot Actuator未授权访问","nacos身份绕过漏洞","druid未授权访问",
              "Hadoop YARN未授权访问","Jenkins未授权访问","Solr未授权访问"]

#验证地址，返回状态码函数
def no_auth(url):
    r=http.request('GET',url)
    #解码二进制字符，获取网页内容
    res=r.data.decode()

    #获取状态码
    r_code=r.status    
    return r_code

for i in range(len(url_list)):
    if no_auth(url+url_list[i])==200:
        print("此网址存在"+url_instruct[i]+"受影响url:"+url+url_list[i])