Java编写敏感文件扫描工具

最新推荐文章于 2022-07-04 17:27:28 发布
最新推荐文章于 2022-07-04 17:27:28 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: java 那些个事 文章标签: http协议 代理服务器 stringbuilder 网络编程 多线程

Java编写敏感文件扫描工具

文章来源:http://yuedu.163.com/news_reader#/!/source?id=c6a5b83adfc7483c9f7166030b7a5d27_1&cid=41361585ceed40c4a3a7cfb6e599f070_1

在渗透测试过程中,扫描敏感目录文件是一件非常重要的事情,那么接下来,我们就用Java来做一个目录扫描的Demo。同样,对于网络编程一样要用到以下几个类:

1、java.net.HttpUrlConnection
2、java.net.Url

接下来对Http UrlConnection类进行了分装,按照http请求分为了request与response,这样一来直接对HTTP协议进行操作,就方便多了。

request 类如下:

package com.xxser.http;
 
import java.io.IOException;
import java.io.OutputStream;
import java.net.HttpURLConnection;
import java.net.MalformedURLException;
import java.net.ProtocolException;
import java.net.Proxy;
import java.net.URL;
 
public class Request {
 
         privateURL url;
         privateHttpURLConnection con;
         privateProxy proxy = null;
 
         /**
          * 构造方法
          *
          * @param url
          *           Url信息
          */
         publicRequest(String url) {
                   try{
                            this.url= new URL(url);
                            this.init();
                   } catch(MalformedURLException e) {
                            e.printStackTrace();
                   }
         }
 
         /**
          *
          * @param url
          *           URL 信息
          * @param proxy
          *           代理
          */
         publicRequest(String url, Proxy proxy) {
                   try{
                            this.url= new URL(url);
                            this.proxy= proxy;
                            this.init();
                   } catch(MalformedURLException e) {
                            e.printStackTrace();
                   }
         }
 
         publicRequest(URL url) {
                   this.url= url;
                   this.init();
         }
 
         publicURL getUrl() {
                   returnurl;
         }
 
         publicHttpURLConnection getCon() {
                   returncon;
         }
 
         /**
          * 初始化 HTTP 信息
          */
         privatevoid init() {
                   try{
 
                            if(this.proxy == null) {
 
                                     this.con= (HttpURLConnection) url.openConnection();
                            } else {
                                     this.con= (HttpURLConnection) this.url
                                                        .openConnection(this.proxy);
                            }
                   }catch (IOException e) {
                            e.printStackTrace();
                   }
         }
 
         /**
          * 得到Response
          *
          * @return
          */
         publicResponse getResponse() {
                   try{
                            this.con.getInputStream();// 发起请求
                   } catch (IOException e) {
                            e.printStackTrace();
                   }
 
                   Responseres = new Response(this.con);
                   returnres;
         }
 
         /**
          * 设置请求方法
          *
          * @param method
          */
         publicvoid setMethod(String method) {
                   try{
                            this.con.setRequestMethod(method);
                   } catch (ProtocolException e){
                            e.printStackTrace();
                   }
         }
 
         /**
          * 设置请求头
          *
          * @param h
          *           头
          * @param v
          *           值
          */
         publicRequest setHeader(String h, String v) {
 
                   this.con.addRequestProperty(h,v);
                   returnthis;
         }
 
         /**
          *设置请求头内容
          *
          * @param data
          */
         publicvoid setData(String data) {
                   this.con.setDoOutput(true);
                   OutputStreamos = null;
                   try{
                            os= this.con.getOutputStream();
                            os.write(data.getBytes());
                            os.close();
                   } catch (IOException e) {
                            e.printStackTrace();
                   }
                  
         }
        
        
        
         /**
          * 设置是否执行302跳转
          * @param set
          */
         @SuppressWarnings("static-access")
         public  void setInstanceFollowRedirects (booleanflag) {
                   this.con.setInstanceFollowRedirects (flag);
         }
}

response 类如下:

package com.xxser.http;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
public class Response {
private HttpURLConnection con;
public Response(HttpURLConnection con) {
this.con = con;
}
/**
 * 
 * @return  获取原始请求
 */
public HttpURLConnection getCon() {
return con;
}
/**
 * 获取请求头
 * @param key
 * @return
 */
public String getHeader(String key) {
return this.con.getHeaderField(key);
}
/**
 * 
 * @return获取内容,默认编码为GBK
 */
public String getBody() {
return this.getBody("GBK");
}
/**
 * 
 * @param charset字符编码
 * @return获取内容
 */
public String getBody(String charset) {
BufferedReader buf = null;
try {
buf = new BufferedReader(new InputStreamReader(this.con
.getInputStream(), charset));
} catch (IOException e) {
e.printStackTrace();
}
StringBuilder sb = new StringBuilder();
try {
for (String temp = buf.readLine(); temp != null; temp = buf
.readLine()) {
sb.append(temp);
sb.append(System.getProperty("line.separator"));
}
} catch (IOException e) {
e.printStackTrace();
}
return sb.toString();
}
/**
 * 
 * @return HTTP 状态码
 */
public int getResponseCode() {
int temp = -1 ;
try {
 temp = this.con.getResponseCode() ;
} catch (IOException e) {
e.printStackTrace();
}
return temp ;
}
}

两个类都有了,那么接下来步入正题,在扫描中,一般使用HEAD方法是最快的,因为不用等待取得HTTP body,也就是HTML、JS、CSS等数据。

进行测试,代码如下:

package com.xxser.test;

import java.net.InetSocketAddress;
import java.net.Proxy;
import java.net.Proxy.Type;
import com.xxser.http.Request;
import com.xxser.http.Response;
public class Main {

	public static void main(String[] args) throws Exception {

		Proxy p = new Proxy(Type.HTTP,new InetSocketAddress("127.0.0.1",8888));
		
		Request r = new Request("http://www.moonsos.com"+"/index.html", p);
			
		r.setHeader("User-Agent", "HelloWorld").setMethod("HEAD");

		Response  ps =	r.getResponse();
		
		System.out.println(ps.getResponseCode());
		
	}

}

这里使用了代理,用BurpSuite抓了包,来查看是否正确,果然,一些都没问题。

ps:如果你不懂的如何使用代理,请看另外一篇文章Java编写代理服务器(Burp拦截Demo)

但有一点需要注意,那就是禁止302跳转,比如我们访问:

http://www.baidu.com/xxx.html,这个"xxx.html"页面是不存在的,那么服务器为了避免404错误,会直接重定向到另外一个页面,一般都是“error”页面,如下图所示:

这个页面是不存在的,但如果不禁止302跳转,依然会返回状态码200!,如下图所示。

所以我们可以调用request. setInstanceFollowRedirects(false) 来禁止302自动跳转,如下图所示,就没问题了。

接下来,你可以做一个多线程,进行扫描了。我就不在一一的说了。无法就是IO与状态吗判断的问题了。

李武杨
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计】敏感信息泄漏篇
大河之犬的博客
05-11 224
敏感信息是业务系统中对保密性要求较高的数据,通常包括系统敏感信息以及应用敏感信息系统敏感信息指的是业务系统本身的基础环境信息,例如系统信息、中间件版本、代码信息,这些数据的泄露可能为攻击者提供更多的攻击途径与方法应用敏感信息可被进一步划分为个人敏感信息和非个人敏感信息,个人敏感信息包括身份证、姓名、电话号码、邮箱等,非个人敏感信息则可能是企事业单位甚至国家层面的敏感信息。在实际场景中,经常发生因研发人员疏忽而导致的敏感信息泄露。
java代码实现文件扫描_JAVA文件扫描(递归)的实例代码
weixin_42099116的博客
02-23 1431
具体代码如下所示:import java.io.File;public class Scan {public static void main(String[] args) {String fileName = "D:\\Program Files\\腾讯游戏\\英雄联盟" + File.separator;File f = new File(fileName);scan(f);}public s...
神兵利器——敏感文件发现工具
LiBai'S BLOG
07-04 3810
☠️Caesar一个全新的敏感文件发现工具 文件扫描是安服的一个基本环节,网络上关于文件扫描工具也有很多,比如御剑,7kbscan,dirsearch等,但是在实战的时候还是遇到不少的问题,比如跨平台问题以及动态404问题。所以按照自己的经验重新造了一个轮子。Golang 1.15(推荐)日志和发现的信息会保存在results目录下路径字典在assets/directory目录下,相比于其他的程序的路径文本字典,Caesar的路径字典是json,可以通过 将普通路径字典转换为程序能识别的json字典。将转
一个简单的敏感目录扫描工具——Python脚本
06-03
01 实现目标 利用HackRequests模块,配合敏感目录字典PHPdict.txt,实现一个简单的敏感目录扫描Python文件 02 注意事项 1、输入URL时要输全:如 https://www.baidu.com/、 https://www.csdn.net/ 2、为防止网站可能存在的简单反爬机制,我们简单添加headers信息,尝试绕过反爬
Caesar:一个全新的敏感文件发现工具
03-08
:chequered_flag: 凯撒大帝 为了规避风险,暂停项目
java代码实现文件扫描_java - Java扫描程序只读取文件的第一行 - SO中文参考 - www.soinside.com...
weixin_32001071的博客
02-23 207
我写了这段代码,因为我需要读取文件的某些行来获取数据并将它们放在一个对象中。问题是扫描仪只读取第一行。我尝试用这个打印System.out.println(sc.hasNext());并调试代码,但是当第一个循环执行时while条件(sc.hasNext())返回false。但在文件中有2行。Scanner sc =null;int[] counter=new int[users.length];...
Java开发的基于字典的图形化目录扫描工具
08-08
Java 开发的基于字典的图形化目录扫描工具
自己动手编写SQL注入漏洞扫描工具
12-31
标题中的“自己动手编写SQL注入漏洞扫描工具”指的是创建一个能够自动检测Web应用程序是否存在SQL注入漏洞的软件。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库,获取...
安全扫描工具HCL AppScan最新版本10.0.7
06-01
在【压缩包子文件文件名称列表】中看到的"AppScan10.0.7(28150)"可能包含了安装程序、许可证文件、更新文档以及可能的示例配置文件等,这些都是为了方便用户下载、安装和配置AppScan进行安全扫描工作。 总之,HCL...
JAVAAPI接口文档管理系统.zip
最新发布
10-01
2. **Javadoc**:Java的官方文档生成工具,通过扫描源代码中的注释,生成易于理解的接口文档。开发者可以在源代码中使用特定的注释格式(如`@param`, `@return`, `@throws`等)来完善API文档。 3. **RESTful API**...
securityscanner:扫描安全配置android
05-20
"securityscanner:扫描安全配置android"是一个专注于检查Android应用安全配置的工具或项目,它基于Java语言实现。本文将深入探讨这个工具的功能、工作原理以及如何利用它来提升Android应用的安全性。 一、安全扫描...
敏感信息检查工具 关键字过滤
08-29
敏感词过滤、查找
Java 实现 扫描文件内容 是否包含。
麦香鸡翅的博客
07-04 630
package cm.test; import java.io.BufferedReader; import java.io.BufferedWriter; import java.io.File; import java.io.FileNotFoundException; import java.io.FileReader; import java.io.FileWriter;
java 扫描器程序_JAVA简易文件扫描
weixin_31108095的博客
02-28 251
由于程序中涉及到递归调用,因此效率会很低,打算以后再改进。import java.io.File;import java.io.IOException;import java.util.regex.Matcher;import java.util.regex.Pattern;public class MyTest {public static void main(String[] args) th...
文件扫描工具
Hadoop.W的博客
09-10 244
package org.wxz.tools.oracle.io.file.util; import java.io.File; import org.wxz.tools.oracle.io.file.callback.FileScanCallback; /** * 文件扫描工具类 * * @author XiongZhi.Wu 2017年12月10日 */ public ...
java的配置文件后缀,Java - 敏感配置文件位置
weixin_31642733的博客
03-10 684
0x00 前言项目中常遇到Java站点,像SSM、springboot这些框架开发的通常一些配置文件都在固定的位置,当然还有Tomcat容器的配置文件。0x01 记录1.properies配置文件这个文件的作用很重要,通常是一个JavaWeb项目中的配置文件,以.properies为文件后缀。在这个文件中常常可以找到项目的数据库配置信息IP账号密码等,还有就是有APK逆出来可能在这个文件中也会泄露...
Github敏感信息自动扫描
NewTyun的博客
08-17 1871
‍‍新钛云服已为您服务1230天日常工作中,运维和开发同事通常会有自己的Github账号,用来上传自己编写的代码或存放博客文章、笔记等资料,有时会不经意的把公司或客户的敏感信息上传到Git...
基于Python实现GIT上传敏感信息扫描工具
zhenlingcn的博客
06-11 1450
前言有关GIT泄露信息的安全问题频出,目前市面上大部分敏感信息扫描工具都是针对GITHUB平台上已上传的代码进行批量扫描,缺乏针对上传前代码进行扫描工具。因此我用Python实现了一个小型的扫描工具,仅仅支持对敏感信息的替换和恢复。代替手工对小型项目的敏感信息进行替换和恢复操作。思路与代码实现思路很简单,就是文本扫描和替换。#Python敏感信息扫描工具 import os file_list=[
java 扫描文件测试_适用于Java开发人员的微服务:安全测试和扫描
danpu0978的博客
05-27 738
java 扫描文件测试1.简介 本教程的这一部分专门讨论安全性测试,将围绕被证明在软件开发领域(包括微服务 )中无价的测试策略进行总结。 尽管软件项目中的安全方面每天都变得越来越重要,但是令人惊讶的是有多少公司完全忽略了安全实践。 每个月至少有一次您听到一个新的重大漏洞或数据泄露信息。 他们中的大多数可以在生产之前被阻止! 本教程这一部分的灵感主要来自开放Web应用程序安全性项目 (简称...
基于java的本地监听与远程端口扫描的设计与开发.doc
05-19
基于Java的本地监听与远程端口扫描工具,是保障信息安全的一种有效手段。这个程序利用Java网络编程能力,能够提供实时的系统与网络状态信息,帮助用户了解计算机的基础配置和网络设置,从而更好地评估系统的安全性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值