免责声明

本文提供的资源仅供学习，利⽤本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使⽤者本⼈负责，本文及作者不为此承担任何责任，一旦造成后果请自行承担责任！

简介

Authz0 是一款自动化授权测试工具。可以根据URL和角色与凭证识别未经授权的访问。URL和角色作为基于YAML的模板进行管理，可以通过authz0自动创建和添加。您还可以使用一次创建/生成的模板文件基于多个身份验证标头和cookie进行测试。

主要功能

生成扫描模板$ authz0 new【包含 URL、包括角色、包括 ZAP 历史记录（选择 URL > 将选定条目保存为 HAR）、包括 Burp 历史记录（选择 URL > 保存项目）、包含 HAR 文件】
轻松修改扫描模板（角色、URL）$ authz0 setUrl $ authz0 setRole authz0 setCred
使用模板进行扫描授权（访问控制）$ authz0 scan
支持 macOS/Windows/Linux 和Docker、Github 操作

使用

可用命令：

  completion  Generate the autocompletion script for the specified shell
  help        Help about any command
  new         Generate new template
  scan        Scanning
  setCred     Append Credential to Template
  setRole     Append Role to Template
  setUrl      Append URL to Template
  version     Show version

生成模板

authz0 new <filename> [flags]

例如：

authz0 new target.yaml --include-urls urls.txt
authz0 new target.yaml --include-zap zapurls.har
authz0 new target.yaml --include-burp burpurl.xml

修改模板

authz0 setCred <filename> [flags]
authz0 setRole <filename> [flags]
authz0 setUrl <filename> [flags]

例如：

authz0 setUrl target.yaml setUrl -u https://www.hahwul.com
authz0 setRole target.yaml -n User1
authz0 setCred target.yaml -n User1 -H "X-API-Key: 1234" -H "TestHeader: 12344"

扫描

authz0 scan <filename> [flags]

例如：

authz0 scan target.yaml
authz0 scan target.yaml -r TestUser1 -H "Cookie: 1234=1234" -H "X-API-Key: 1234555"

项目地址

https://github.com/hahwul/authz0