Hauditor es una herramienta diseñada para analizar las cabeceras de seguridad devueltas por una página web.
Tabla de Contenido
Características
- Evaluación de encabezados de seguridad: Examina la presencia y los valores de los encabezados de seguridad identificados.
- Análisis de configuración general: Realiza una evaluación completa de los encabezados antes de marcar las configuraciones potencialmente riesgosas.
- Análisis de directivas de Content-Security-Policy: Analiza las directivas de CSP, centrándose en las configuraciones que pueden permitir ataques XSS.
- ByPass de WAF: Realiza ajustes básicos en la solicitud para evitar el posible bloqueo por parte de los WAF.
- Análisis de múltiples objetivos: Es posible analizar los encabezados de seguridad en varias páginas y dominios.
Ejemplo de uso: Para evaluar todos los encabezados de seguridad HTTP de un dominio determinado que se analiza a través de BurpSuite, haz clic derecho en el dominio en la sección SiteMap de Burp, selecciona “Copiar URLs en este host”, guárdalas en un archivo de texto y envíalo a hauditor a través del indicador -f.
Instalación
go install github.com/trap-bytes/hauditor@latestUso
hauditor -hEsto mostrará la ayuda de la herramienta. Aquí están todos los argumentos que admite.
Uso:
hauditor [argumentos]Los argumentos son:
-t string: Especifica la URL de destino (por ejemplo, domain.com o https://domain.com).-f string: Especifica el archivo (por ejemplo, domain.txt).-m string: Método HTTP (HEAD, GET, POST, PUT, etc.).-b string: Cuerpo de la solicitud HTTP.-p string: Especifica la URL del proxy (por ejemplo, 127.0.0.1:8080).-c string: Especifica las cookies (por ejemplo, “user_token=g3p21ip21h;”).-r string: Especifica los encabezados (por ejemplo, “Myheader: test”).-timeout: Tiempo de espera para las solicitudes HTTP en segundos.-h: Muestra la ayuda.
Ejemplos:
./hauditor -t domain.com
./hauditor -t https://domain.com -p 127.0.0.1:8080
./hauditor -f domains.txt
./hauditor -c "user_token=hjljkklpo"
./hauditor -r "Myheader: test"