首页 >> 网络安全 >>渗透测试 >> 跨站 WebSocket 劫持的命令行工具
详细内容

跨站 WebSocket 劫持的命令行工具

时间:2021-09-09        阅读

关于

CSWSH 工具可以连接到标准的和基于 socket.io 的 WebSockets。

  • 标准的 websocket 将具有向服务器发送消息和从服务器接收消息的功能。

  • 基于 socket.io 的 websocket 将只有 ping 功能来检查连接是否成功。


要求

CSWSH 可以使用Python 3并且几乎没有依赖项。

要安装这些依赖项,请导航到源目录并执行 pip3 install -r requirements.txt


用法

CSWSH 工具在连接到 websocket 服务器时提供以下选项。

对于标准的 websocket

$ python3 cswsh.py " wss://echo.websocket.org "

对于基于 socket.io 的 websocket

$ python3 cswsh.py "https://example.com/socket.io/" -sio

成功连接后,发送 websocket ping 消息2probe,服务器将响应3probe作为成功连接的确认。


添加自定义标题

在请求使用-h选项中添加自定义标头

$ python3 cswsh.py "wss://echo.websocket.org" -h "Authorization: Bearer AbCdEf123456"


添加cookie

在请求使用-c选项中添加 cookie

$ python3 cswsh.py "wss://echo.websocket.org" -c "sessionID=AbCdEf123456"


更改原点

在请求使用-o选项中添加自定义源头

$ python3 cswsh.py "wss://echo.websocket.org" -o "http://localhost:8080"


禁用 SSL 证书验证

如果您不希望该工具验证服务器证书,请使用-i选项

$ python3 cswsh.py "wss://echo.websocket.org" -i

项目地址:https://github.com/DeepakPawar95/cswsh

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录