您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關如何使用ParamSpider在Web文檔中搜索敏感參數,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
ParamSpider是一款功能強大的Web參數挖掘工具,廣大研究人員可以利用ParamSpider來從Web文檔的最深處挖掘出目標參數。
針對給定的域名,從Web文檔中搜索相關參數;
針對給定的子域名,從Web文檔中搜索相關參數;
支持通過指定的擴展名掃描引入的外部URL地址;
以用戶友好且清晰的方式存儲掃描的輸出結果;
在無需與目標主機進行交互的情況下,從Web文檔中挖掘參數;
注意:ParamSpider的正常使用需要在主機中安裝配置Python 3.7+環境。
廣大研究人員可以使用下列命令將該項目源碼克隆至本地,并安裝相關的依賴組件:
$ git clone https://github.com/devanshbatham/ParamSpider $ cd ParamSpider $ pip3 install -r requirements.txt $ python3 paramspider.py --domain hackerone.com
$ python3 paramspider.py --domain hackerone.com -> Output ex : https://hackerone.com/test.php?q=FUZZ
$ python3 paramspider.py --domain hackerone.com --exclude php,jpg,svg
$ python3 paramspider.py --domain hackerone.com --level high -> Output ex : https://hackerone.com/test.php?p=test&q=FUZZ
$ python3 paramspider.py --domain hackerone.com --exclude php,jpg --output hackerone.txt
$ python3 paramspider.py --domain hackerone.com --placeholder FUZZ2
$ python3 paramspider.py --domain hackerone.com --quiet
$ python3 paramspider.py --domain hackerone.com --subs False
假設你現在已經安裝好了ParamSpider,現在你想要從大量的參數中篩選出有意思的參數,那你就可以配合GF工具一起使用了。
注意:在使用該工具之前,請確保本地主機配置好了Go環境。
$ go get -u github.com/tomnomnom/gf $ cp -r $GOPATH/src/github.com/tomnomnom/gf/examples ~/.gf Note : Replace '/User/levi/go/bin/gf' with the path where gf binary is located in your system. $ alias gf='/User/levi/go/bin/gf' $ cd ~/.gf/ Note : Paste JSON files(https://github.com/devanshbatham/ParamSpider/tree/master/gf_profiles) in ~/.gf/ folder Now run ParamSpider and navigate to the output directory $ gf redirect domain.txt //for potential open redirect/SSRF parameters $ gf xss domain.txt //for potential xss vulnerable parameters $ gf potential domain.txt //for xss + ssrf + open redirect parameters $ gf wordpress domain.txt //for wordpress urls [More GF profiles to be added in future]
$ python3 paramspider.py --domain bugcrowd.com --exclude woff,css,js,png,svg,php,jpg --output bugcrowd.txt
注意事項:因為該工具將從Web文檔數據中爬取參數,因此輸出結果存在一定假陽性。
關于如何使用ParamSpider在Web文檔中搜索敏感參數就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。