关于 AWVS 的 LSR (Login Sequence Recorder) 无法代理的问题解决 (不完全) workaround

关于 AWVS 的 LSR (Login Sequence Recorder) 无法代理的问题解决 (不完全)

场景说明

一个网站扫描项目，被测试网站部署了一些防御措施，只允许白名单中某个特定 IP 访问，其他访问需要连接部署在该 IP 的 socks v5 的代理。

扫描主机基本情况
Windows 10
Acunetix WVS 11

说明

ss client 开启全局代理。
由于 AWVS 仅支持 HTTP/HTTPS 代理
使用 Privoxy 转发 socks v5 代理 (转化为本地 HTTP 代理）
然后再 AWVS 中设置 HTTP 代理。

至于 lsr.exe 的解决方案，最终是依赖直接编辑记录文件解决的。
使用 Chrome F12 获取相关输入位置的 XPath 定位。

编辑举例

demo_login.lsr

{
    "actions": [
        {
            "parameters": {
            },
            "target": "https://www.target.com:8080/login",
            "timeout": 20000,
            "type": "navigate"
        },
        {
            "parameters": {
                "value": "target_username"
            },
            "target": "//*[@id="content"]/form/div[1]/div/div/input",
            "timeout": 20000,
            "type": "change"
        },
        {
            "parameters": {
                "password": true,
                "value": "target_password"
            },
            "target": "//*[@id=\"password\"]",
            "timeout": 20000,
            "type": "change"
        },
        {
            "parameters": {
            },
            "target": "//*[@id=\"content\"]/form/div[3]/button",
            "timeout": 20000,
            "type": "click"
        }
    ],
    "detection": {
        "pattern": "",
        "request": "",
        "type": "none"
    },
    "restrictions": [
    ]
}

其他尝试

使用 Proxifier 对不同应用设置不同代理
对 lsr.exe 单独设置进程代理规则
不过遇到以下问题无法解决
error: Cannot connect to placeholder (fake) IP address. It’s recomended to restart the application.

参考资料

ArchLinux Wiki Privoxy (简体中文)
https://wiki.archlinux.org/index.php/Privoxy_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)

Privoxy 3.0.26 User Manual
https://www.privoxy.org/user-manual/index.html

• #Penetration Testing
• #渗透测试