Scalpel支持深度参数注入,其拥有一个强大的数据解析和变异算法,它可以将常见的数据格式(json, xml, form等)解析为树结构,然后根据poc中的规则,对树进行变异,包括对叶子节点和树结构 的变异。变异完成之后,将树结构还原为原始的数据格式。
解决在HTTP应用漏洞Fuzz过程中,传统的「Form表单明文传参的模式」逐渐变为「复杂、嵌套编码的参数传递」 无法直接对参数内容进行注入或替换,无法深入底层的漏洞触发点的问题。
目前scalpel已集成100+漏洞POC
项目地址:https://github.com/StarCrossPortal/scalpel