基于Http类Api端口(WebPack)漏洞扫描工具--PackerFuzzer教程

最新推荐文章于 2024-06-07 19:24:59 发布
最新推荐文章于 2024-06-07 19:24:59 发布
阅读量976 收藏 3
点赞数 2
分类专栏: 渗透测试工具教程 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SSDOK1O2/article/details/134108690
版权

   该工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。

下载地址:

https://github.com/rtcatc/Packer-Fuzzer

安装环境:

根据官方文档教程进行安装即可。

  1. 本工具使用Python3语言开发,在运行本工具之前请确保您装有Python3.X软件及pip3软件。若您未安装相关环境,可通过如下指引安装:Python3 环境搭建 | 菜鸟教程

    MacOS用户可使用如下命令快速安装:

    brew install python3 #会自动安装pip3

    Ubuntu用户可使用如下命令快速安装:

    sudo apt-get install -y python3 && sudo apt install -y python3-pip

    CentOS用户可使用如下命令快速安装:

    sudo yum -y install epel-release && sudo yum install python3 && yum install -y python3-setuptools && easy_install pip

  2. 本工具将会通过node_vm2运行原生NodeJS代码,故我们推荐您安装NodeJS环境(不推荐其他JS运行环境,可能会导致解析失败)。若您未安装相关环境,可通过如下指引安装:Node.js 安装配置 | 菜鸟教程

    MacOS用户可使用如下命令快速安装:

    brew install node

    Ubuntu用户可使用如下命令快速安装:

    sudo apt-get install nodejs && sudo apt-get install npm

    CentOS用户可使用如下命令快速安装:

    sudo yum -y install nodejs

  3. 请使用如下命令一键安装本工具所需要的Python运行库:

    pip3 install -r requirements.txt

注意:

当完完整整按照官方的教程配置好环境后,在进行启动时,会出现如下的问题:

出现上述情况的原因是:在1.0.0版本中存在兼容性问题

解决办法:

在命令框中输入以下命令,即可解决

pip3 install python-docx==0.8.11 

成功启动:

along_sir
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Packer-FuzzerPacker Fuzzer是一种快速高效的扫描程序,用于对由JavaScript模块捆绑器(例如Webpack)构建的网站进行安全检测
02-06
封隔器模糊器 一款针对Webpack等前端打包工具所构造的网站进行快速,高效安全检测的扫描工具 由Poc-Sir,KpLi0rn,Liucy,RachesseHS,Lupin-III荣誉出品组成 责‍:female_sign_selector:免责声明 由于传播,利用Packer Fuzzer工具(下简称本工具)提供的检测功能而造成的任何直接或间接的后果及损失,均由使用者本人负责,Packer Fuzzer开发团队(下简称本团队)不承担责任任何责任。 本工具会根据使用者检测结果自动生成扫描结果报告,本报告内容及其他衍生内容均不能代表本团队的立场及观点。 请在使用本工具时遵守使用者以及目标系统所在国当地的相关法律法规,一切未授权测试均
Packer-Fuzzer的使用
m0_71366428的博客
12-18 2401
在平常渗透测试时经常会遇见使用Webpack打包的网站,打包器会将整站的APIAPI参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。
swaggerHole:针对swaggerHub的公共API安全扫描工具
最新发布
FreeBuf_的博客
06-07 852
swaggerHole是一款针对swaggerHub的API安全扫描工具,该工具基于纯Python 3开发,可以帮助广大研究人员检索swaggerHub上公共API的相关敏感信息,整个任务过程均以自动化形式实现,且具备多线程特性和管道模式。-de, --deactivate_email:不激活email过滤功能(会增加假阳性);-q, --quiet:静默模式,移除Banner;-o OUT, --out OUT:设置输出目录;-h, --help:显示工具帮助信息和退出;本项目的开发与发布遵循。
PackerFuzzer使用说明
weixin_48681808的博客
07-16 1020
例如:python PackerFuzzer.py(点py为文件名) -u www.xxx.com。一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。python PackerFuzzer.py -u 网页地址。针对JS框架开发打包器Webpack检测。运行命令 在目录下运行cmd。
渗透测试相关工具
weixin_43778463的博客
09-19 837
常用工具
API安全-扫描器实战
why811的博客
07-25 869
向/graphql路径发请求,请求格式似json但是非json,并非key value对应。
Packer-Fuzzer:自动化API模糊提取与漏洞检测
lwwzyy
08-06 2993
Packer-Fuzzer快速提取网站JS和API,并对未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测
webpack-使用webpack-dev-server.rar
04-12
`webpack-dev-server` 是 Webpack 提供的一个本地开发服务器,它极大地提高了前端开发效率,因为它提供了实时重载(live reloading)和热模块替换(hot module replacement)等功能。 **实时重载(Live Reloading)...
使用webpack3.0配置webpack-dev-server教程
01-19
不过,在实际操作中发现,用webpack搭建服务器仍有不少坑,一方面是由于自己对文档的不熟悉,不了解webpack-dev-server的运作模式;另一方面,在翻阅了不少博客和文章后,发现不少配置实际上都跑不起来(有可能是...
webpack4-cdn-plugin:上传 webpack 资源到 cdn,允许重命名散列资源
05-31
webpack4-cdn-插件 将您的 webpack 生成的资产上传到 CDN,允许重命名/重新哈希。 要求和重要说明 Node 8+ (支持async/await )是必需的推荐。 此插件尚未在Windows平台上进行测试。 此插件仅支持webpack@4 。 ...
webpack-upload-plugin:Webpack插件
05-13
webpack-upload-plugin介绍这是的插件。 主要目的是提供一个工具,用于将html(或其他语言的模板)中使用的js / css / img / font上传到cdn,然后将引用替换为相应的cdn url。环境要求节点> = 10.5.0安装npm i -D ...
十大web安全扫描工具
12-14
十大web安全扫描工具十大web安全扫描工具
API接口安全测试方法大全(附一键化扫描工具
2302_76672693的博客
06-27 3830
API接口安全测试方法大全(附一键化扫描工具
一款API漏洞扫描工具
weixin_46211944的博客
12-29 543
APIDetector 是一款强大而高效的工具,旨在测试各个子域中公开的 Swagger 端点,并具有独特的智能功能来检测误报。对于从事 API 测试和漏洞扫描安全专业人员和开发人员来说特别有用。灵活输入:接受文件中的单个域或子域列表。多个协议:通过 HTTPHTTPS 测试端点的选项。并发:利用多线程来加快扫描速度。可定制的输出:将结果保存到文件或打印到标准输出。详细和安静模式:详细日志的默认详细模式,以及安静模式选项。自定义用户代理:能够为请求指定自定义用户代理。
可对前端打包器所构建的网站进行一键扫描的Packer Fuzzer
m0_46699477的博客
12-10 4044
前言:Packer Fuzzer是一款对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。当我们在Goby中遇到前端打包器所生成的站点时,联动Packer Fuzzer可以自动解析全部JS文件并提取该站点所有APIAPI参数,从而进行高效漏洞模糊检测。 0x001 最终效果 1.1 插件入口 安装Packer Fuzzer Goby插件之后,可以在Web检测(Webfinder)的显示框内右侧看到一排“Packer Fuzzer”按钮: 若对应开发端口资产型为网页,也可以.
webpack信息泄露
weixin_47949352的博客
03-14 2204
webpack是一个 JavaScript 应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等
日常渗透刷洞的一些小工具
m0_71744960的博客
02-23 210
作为一个安服仔,日常渗透中,不同阶段所使用的工具是不同的,除开自动化一条龙的脚本之外,很多时候是需要反复的进入不同的文件夹运行不同的命令,每次使用工具的时候命令可能也是一样的,那么是否有种方式将常用的工具,常用的命令集成在一起,渗透的时候仅需给定目标,就可以调用工
自动化实战-安卓API自动化安全扫描
哔_哩哩!的博客
12-08 1221
在日常的移动端安全审计,自动化审计一直停留在应用客户端,对于安卓应用中的网络API接口长期处于空白阶段,该方案主要想解决实际工作中移动安审自动化覆盖范围不全遗漏掉API相关内容的问题,同时对公司APP端的资产进行梳理,进一步完善公司移动应用SDL流程缺失的环节。
webpack webpack-cli webpack-dev-server配置
08-16
对于Webpack的配置,你需要安装一些必要的依赖包。首先,确保你已经安装了Node.js和npm。然后,可以通过以下步骤来配置Webpack: 1. 创建一个新的项目文件夹,并在终端中导航到该文件夹中。 2. 初始化一个新的npm项目,运行以下命令并按照提示进行配置: ``` npm init ``` 3. 安装Webpack及其相关依赖: ``` npm install webpack webpack-cli webpack-dev-server --save-dev ``` 4. 在项目根目录下创建一个`webpack.config.js`文件,并添加以下基本配置: ```javascript const path = require('path'); module.exports = { entry: './src/index.js', output: { filename: 'bundle.js', path: path.resolve(__dirname, 'dist'), }, devServer: { contentBase: './dist', }, }; ``` 上述配置指定了入口文件为`src/index.js`,输出文件为`dist/bundle.js`,并启用了开发服务器。 5. 在`package.json`文件中添加以下脚本命令: ```json "scripts": { "start": "webpack serve --open", "build": "webpack" } ``` 上述配置允许你使用`npm start`命令来启动开发服务器,并使用`npm run build`命令来构建生产环境的打包文件。 至此,你的Webpack配置已经完成。你可以根据自己的需求进行进一步的配置,例如添加其他加载器和插件等。记得在项目中创建`src/index.js`作为入口文件,并在其中编写你的应用代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值