中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何使用ParamSpider在Web文檔中搜索敏感參數

發布時間:2021-12-23 09:15:33 來源:億速云 閱讀:150 作者:柒染 欄目:網絡管理

這篇文章將為大家詳細講解有關如何使用ParamSpider在Web文檔中搜索敏感參數,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

ParamSpider

ParamSpider是一款功能強大的Web參數挖掘工具,廣大研究人員可以利用ParamSpider來從Web文檔的最深處挖掘出目標參數。

核心功能

  • 針對給定的域名,從Web文檔中搜索相關參數;

  • 針對給定的子域名,從Web文檔中搜索相關參數;

  • 支持通過指定的擴展名掃描引入的外部URL地址;

  • 以用戶友好且清晰的方式存儲掃描的輸出結果;

  • 在無需與目標主機進行交互的情況下,從Web文檔中挖掘參數;

工具安裝&下載

注意:ParamSpider的正常使用需要在主機中安裝配置Python 3.7+環境。

廣大研究人員可以使用下列命令將該項目源碼克隆至本地,并安裝相關的依賴組件:

$ git clone https://github.com/devanshbatham/ParamSpider

$ cd ParamSpider

$ pip3 install -r requirements.txt

$ python3 paramspider.py --domain hackerone.com

工具使用選項

1 - 執行一次簡單掃描任務[未使用--exclude參數]:

$ python3 paramspider.py --domain hackerone.com

-> Output ex : https://hackerone.com/test.php?q=FUZZ

2 - 使用特定擴展名指定外部URL地址:

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg,svg

3 - 查詢嵌套參數:

$ python3 paramspider.py --domain hackerone.com --level high

-> Output ex : https://hackerone.com/test.php?p=test&q=FUZZ

4 - 存儲掃描數據:

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg --output hackerone.txt

5 - 使用自定義占位符文本(默認為“FYZZ”):

$ python3 paramspider.py --domain hackerone.com --placeholder FUZZ2

6 - 使用靜默模式(不在屏幕輸出URL地址):

$ python3 paramspider.py --domain hackerone.com --quiet

7 - 排除特定子域名:

$ python3 paramspider.py --domain hackerone.com --subs False

ParamSpider + GF

假設你現在已經安裝好了ParamSpider,現在你想要從大量的參數中篩選出有意思的參數,那你就可以配合GF工具一起使用了。

注意:在使用該工具之前,請確保本地主機配置好了Go環境。

安裝和配置命令如下:

$ go get -u github.com/tomnomnom/gf

$ cp -r $GOPATH/src/github.com/tomnomnom/gf/examples ~/.gf

 

Note : Replace '/User/levi/go/bin/gf' with the path where gf binary is located in your system.

 

$ alias gf='/User/levi/go/bin/gf'

$ cd ~/.gf/

 

Note : Paste JSON files(https://github.com/devanshbatham/ParamSpider/tree/master/gf_profiles) in ~/.gf/ folder

 

Now run ParamSpider and navigate to the output directory

 

$ gf redirect domain.txt //for potential open redirect/SSRF parameters

$ gf xss domain.txt //for potential xss vulnerable parameters

$ gf potential domain.txt //for xss + ssrf + open redirect parameters

$ gf wordpress domain.txt //for wordpress urls

 

[More GF profiles to be added in future]

工具使用樣例

$ python3 paramspider.py --domain bugcrowd.com --exclude woff,css,js,png,svg,php,jpg --output bugcrowd.txt

注意事項:因為該工具將從Web文檔數據中爬取參數,因此輸出結果存在一定假陽性。

關于如何使用ParamSpider在Web文檔中搜索敏感參數就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

web
AI

集贤县| 鹰潭市| 康马县| 松溪县| 平武县| 郴州市| 昌图县| 随州市| 林西县| 镇雄县| 鄢陵县| 广西| 黎川县| 黄大仙区| 清水河县| 万宁市| 逊克县| 井陉县| 崇仁县| 中牟县| 资源县| 大理市| 通州区| 沙雅县| 阿克陶县| 中西区| 新兴县| 曲阜市| 浪卡子县| 永仁县| 贺州市| 遂溪县| 漳浦县| 阿拉善盟| 陈巴尔虎旗| 金川县| 新昌县| 辽宁省| 平凉市| 乾安县| 措美县|