AuthCov 一款Web应用程序授权覆盖范围扫描工具

介绍

以预定义用户身份登录时，AuthCov使用Chrome无头浏览器抓取您的Web应用程序。它拦截并记录API请求以及在爬网阶段加载的页面。在下一阶段，它以不同的用户帐户“入侵者”登录，并尝试访问先前发现的每个API请求或页面。它为每个定义的入侵者重复此步骤。最后，它会生成一份详细的报告，列出发现的资源以及入侵者用户是否可以访问这些资源。

通过扫描本地Wordpress实例生成的示例报告： 

特征

适用于单页应用程序和传统的多页应用程序处理基于令牌和基于cookie的身份验证机制生成HTML格式的深入报告可以在报告中查看爬网的每个页面的屏幕截图

安装
安装节点10。然后运行：
$ npm install -g authcov

用法
为您要扫描的站点生成一个配置：
$ authcov new myconfig.js
更新myconfig.js中的值
通过运行此命令来测试您的配置值，以确保浏览器成功登录。
$ authcov test-login myconfig.js --headless=false
抓取您的网站：
$ authcov crawl myconfig.js
尝试入侵在爬网阶段发现的资源：
$ authcov intrude myconfig.js
在以下位置查看生成的报告： ./tmp/report/index.html

文章来源及下载：

https://github.com/authcov/authcov