千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 网络安全 >

如何使用ParamSpider在Web文档中搜索敏感参数

发表于:2025-01-21 作者:千家信息网编辑
千家信息网最后更新 2025年01月21日,这篇文章将为大家详细讲解有关如何使用ParamSpider在Web文档中搜索敏感参数,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。ParamSpide
千家信息网最后更新 2025年01月21日如何使用ParamSpider在Web文档中搜索敏感参数

这篇文章将为大家详细讲解有关如何使用ParamSpider在Web文档中搜索敏感参数,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

ParamSpider

ParamSpider是一款功能强大的Web参数挖掘工具,广大研究人员可以利用ParamSpider来从Web文档的最深处挖掘出目标参数。

核心功能

  • 针对给定的域名,从Web文档中搜索相关参数;

  • 针对给定的子域名,从Web文档中搜索相关参数;

  • 支持通过指定的扩展名扫描引入的外部URL地址;

  • 以用户友好且清晰的方式存储扫描的输出结果;

  • 在无需与目标主机进行交互的情况下,从Web文档中挖掘参数;

工具安装&下载

注意:ParamSpider的正常使用需要在主机中安装配置Python 3.7+环境。

广大研究人员可以使用下列命令将该项目源码克隆至本地,并安装相关的依赖组件:

$ git clone https://github.com/devanshbatham/ParamSpider$ cd ParamSpider$ pip3 install -r requirements.txt$ python3 paramspider.py --domain hackerone.com

工具使用选项

1 - 执行一次简单扫描任务[未使用--exclude参数]:

$ python3 paramspider.py --domain hackerone.com-> Output ex : https://hackerone.com/test.php?q=FUZZ

2 - 使用特定扩展名指定外部URL地址:

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg,svg

3 - 查询嵌套参数:

$ python3 paramspider.py --domain hackerone.com --level high-> Output ex : https://hackerone.com/test.php?p=test&q=FUZZ

4 - 存储扫描数据:

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg --output hackerone.txt

5 - 使用自定义占位符文本(默认为"FYZZ"):

$ python3 paramspider.py --domain hackerone.com --placeholder FUZZ2

6 - 使用静默模式(不在屏幕输出URL地址):

$ python3 paramspider.py --domain hackerone.com --quiet

7 - 排除特定子域名:

$ python3 paramspider.py --domain hackerone.com --subs False

ParamSpider + GF

假设你现在已经安装好了ParamSpider,现在你想要从大量的参数中筛选出有意思的参数,那你就可以配合GF工具一起使用了。

注意:在使用该工具之前,请确保本地主机配置好了Go环境。

安装和配置命令如下:

$ go get -u github.com/tomnomnom/gf$ cp -r $GOPATH/src/github.com/tomnomnom/gf/examples ~/.gf Note : Replace '/User/levi/go/bin/gf' with the path where gf binary is located in your system. $ alias gf='/User/levi/go/bin/gf'$ cd ~/.gf/ Note : Paste JSON files(https://github.com/devanshbatham/ParamSpider/tree/master/gf_profiles) in ~/.gf/ folder Now run ParamSpider and navigate to the output directory $ gf redirect domain.txt //for potential open redirect/SSRF parameters$ gf xss domain.txt //for potential xss vulnerable parameters$ gf potential domain.txt //for xss + ssrf + open redirect parameters$ gf wordpress domain.txt //for wordpress urls [More GF profiles to be added in future]

工具使用样例

$ python3 paramspider.py --domain bugcrowd.com --exclude woff,css,js,png,svg,php,jpg --output bugcrowd.txt

注意事项:因为该工具将从Web文档数据中爬取参数,因此输出结果存在一定假阳性。

关于如何使用ParamSpider在Web文档中搜索敏感参数就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

很赞哦!
参数 文档 工具 搜索 主机 地址 输出 配置 人员 内容 功能 命令 扩展名 数据 文章 更多 环境 目标 知识 研究人员 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 每个人都需要签订服务器协议 新城区检察院网络安全 通信工程与网络技术 数据库分为哪两种视图 数据库删除部门无效员工 数据库中的多个工作簿 数据库设计是否有效 网络安全对金融市场的影响 中美网络安全特朗普 linux 自带数据库 vr视频服务器 深圳市百分之八十网络技术 苏教版网络技术应用教案全套 井陉应用软件开发服务供应 如何量化考核软件开发 个人信用信息网络安全保护 软件开发不懂英语怎么学 思科网络技术学院教程全套 手机流量数据库 使用什么软件能查找数据库 数据库fetch最大件数 广东高中网络技术应用pdf obd直播软件开发 有哪些网站可以自学软件开发 建筑通信与网络技术 本地服务器80端口不稳定 惠普服务器怎么接驱动板 网络安全和信息化工作6 软件开发属于哪个技术领域 apex手游服务器进不去

相关文章

0