FUZZ参数名工具-Arjun

已于 2024-01-17 15:06:03 修改
阅读量1.6k 收藏 5
点赞数 3
分类专栏: 工具篇 文章标签: FUZZ 参数名
于 2023-08-21 10:17:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/132402668
版权

1、Arjun是什么?

Arjun 可以查找 URL 端点的查询参数。如果您不明白这意味着什么,没关系,请继续阅读。

Web 应用程序使用参数(或查询)来接受用户输入,请考虑以下示例

http://api.example.com/v1/userinfo?id=751634589

此 URL 似乎加载特定用户 ID 的用户信息,但是如果存在一个名为adminwhich 的参数,当设置为True使端点提供有关用户的更多信息时会怎样?
这就是 Arjun 所做的,它通过包含 25,890 个参数名称的巨大默认字典查找有效的 HTTP 参数。

最好的部分?只需不到 10 秒即可浏览完这个巨大的列表,同时仅向目标发出 50-60 个请求。

2、项目地址

https://github.com/s0md3v/Arjun
在这里插入图片描述

3、安装

您可以使用 pip 安装,如下所示:

pip3 install arjun

或者,通过下载此存储库并运行

python3 setup.py install

4、快速使用

1.扫描单个网址

选项:-u

针对单个 URL 运行 Arjun。

arjun -u https://api.example.com/endpoint

2.导入目标

选项:-i

Arjun 支持从 BurpSuite、简单文本文件和原始请求文件导入目标。Arjun 可以自动识别输入文件的类型,因此您只需指定路径即可。

arjun -i targets.txt

3.指定 HTTP 方法

选项:-m

GETArjun默认查找方法参数。所有可用的方法有:GET/POST/JSON/XML

arjun -u https://api.example.com/endpoint -m POST

4.导出结果

选项:-oJ/-oB/-oT

您可以使用相应的选项将结果导出到 BurpSuite 或 txt/JSON 文件。

arjun -u https://api.example.com/endpoint -oJ result.json
-oJ result.json
-oT result.txt
-oB 127.0.0.1:8080

更多使用命令请参考
https://mp.weixin.qq.com/s/jdP4phk0m-gj7Jjt9Z3KVw

该工具挖掘SRC实例
https://mp.weixin.qq.com/s/61bQZJ7C6ZDlEMvEHFDdNw
https://mp.weixin.qq.com/s/e_der-6Hru5UrQOn21WdFQ

SuperherRo
关注
专栏目录
谷歌免费开放模糊测试框架OSS-Fuzz(物联网、车联网、供应链安全、C/C++)
墨痕诉清风的博客
02-05 1295
模糊测试是一种通过向软件输入意外数据来模拟恶意攻击,从而发现潜在漏洞的技术。业界专家普遍认为模糊测试是一个强大的软件安全工具,不仅可以发现常见的低危漏洞,还能识别像缓冲区溢出这类高危问题。Synopsys Software Integrity Group的高级安全产品经理John McShane表示:“模糊测试已经存在数十年,随着其在发现未知漏洞和零日漏洞方面的成功,越来越受到欢迎。臭昭著的心脏出血漏洞就是安全工程师使用商业模糊测试产品Defensics发现的。
Python-Arjun是一个用于查找隐藏的GET和POST参数的python脚本
08-10
Arjun是一个python脚本,用于使用regex和bruteforce查找隐藏的GET和POST参数
Arjun工具基本使用
菜鸟-宇的个人博客
10-02 790
-headers您可以简单地从命令行添加自定义标头,按\n使用--headers不带任何参数的选项将打开文本编辑器(默认为“nano”),您只需将 HTTP 标头粘贴到此处并按Ctrl + S保存即可。注意: Arjun 使用nano提示的默认编辑器,但您可以通过调整 来更改它。
Arjun 项目安装和配置指南
最新发布
gitblog_07148的博客
09-13 364
Arjun 项目安装和配置指南 Arjun HTTP parameter discovery suite. 项目地址: https://gitcode.com/gh_mirrors/ar/Arjun ...
Arjun:一款http参数扫描器的使用
mingyqf的博客
11-29 1220
尸者狗 2020-08-29 15:10:13 704 收藏 2 分类专栏: 安全工具 文章标签: linux 版权 安全工具 专栏收录该内容 14 篇文章0 订阅 订阅专栏 Arjun:一款http参数扫描器,主要就是爆破url参数的 项目地址 Arjun 特点 多线程 检测彻底 自动速率限制处理 典型的扫描需要30秒 GET/POST/JSON 方法支持 25,980个参数称的大列表 下载安装 git clone https://github.com/s0md3v/Arjun.git 1 使用 我
Arjun-url参数扫描工具
mingyqf的博客
11-01 2842
您可以安装点如下:arjun pip3 install arjun 或者,通过下载此存储库并运行 python3 setup.py install 家 阿琼是如何工作的? 用法 扫描单个网址 指定 HTTP 方法 进口目标 出口结果 指定注射点 多线程 请求之间的延迟 请求超时 处理速率限制 包括持久性数据 控制查询/块大小 从被动源收集参数称 使用自定义 ...
Linux安装使用Arjun
m0_50967960的博客
09-14 822
下载 git clone https://github.com/s0md3v/Arjun.git 扫描单个URL cd Arjun arjun -u http://xxxx -m GET -c 200 -m 指定http方法 -c 控制参数大小 更多使用方法
Arjun: 网络安全扫描工具教程
gitblog_00587的博客
08-08 507
Arjun: 网络安全扫描工具教程 ArjunHTTP parameter discovery suite.项目地址:https://gitcode.com/gh_mirrors/ar/Arjun 1. 项目介绍 Arjun 是由 s0md3v 开发的一个命令行工具,主要用于对 Web 应用进行安全性扫描。它能够帮助渗透测试人员自动化地发现应用程序中的漏洞,特别是那些基于框架的应用程序。Arju...
oss-fuzz:OSS-Fuzz-开源软件的连续模糊测试
02-05
我们将 , 和模糊测试引擎与以及 (分布式模糊测试执行环境和报告工具)结合使用来支持。 当前,OSS-Fuzz支持C / C ++,Rust,Go和Python代码。 支持的其他语言也可以使用。 OSS-Fuzz支持对x86_64和i386构建
一款非常出众的fuzz工具-paramFuzzer
12-17
从压缩包子文件的文件称“一款fuzz高效工具”来看,我们可以推测这可能包含paramFuzzer的安装包或者使用手册,或者是示例脚本和测试用例。用户可以通过这些资源了解如何有效地使用paramFuzzer进行模糊测试,提高...
CentOS报错make: *** [fuzz-commit-graph.o] Error 1
邓邓子的博客
03-01 1678
一、问题 CentOS 7 下执行 make profix=/usr/local/git 命令时报错: [root@server-c00ef8c3-710d-4708-9cde-2c864e7c03e2 git-2.35.1]# make profix=/usr/local/git CC fuzz-commit-graph.o In file included from object-store.h:4:0, from commit-graph.h:5,
fuzz.rar(模糊测试工具
03-03
Fuzz是世界上第一款Fuzzing工具,也是该技术称之为‘fuzzing’的原因,它是威斯康星大学研究所测试windows程序的工具。该工具利用windows的消息机制向窗口随机的发送数据,试图使得应用程序崩溃。
软件漏洞挖掘Fuzz工具之三-入门篇.rar
07-29
总结了下产生Fuzz数据的方法,后续有机会我会通过相关工具介绍过程。 1 清楚包格式情况下,使用Fuzz工具描述包格式 2 根据sniffer包 ,自动生成测试数据 3 分析程序流程结构,针对各个分支构造Fuzz包 。 之前接受的google 的Bunny 属于这一类,不过它是结合编译器,自动的遍历的。 4 统计分析自动识别协议包,并构造Fuzz
开源项目-arjun024-golang-101.zip
09-06
开源项目-arjun024-golang-101.zip,golang 101 - a collection of learning examples
【网络安全 | 渗透工具-目录FUZZ】ffuf安装使用详细教程
等风来
09-09 553
ffuf 允许使用多个 wordlists,每个 wordlist 可以指定一个自定义关键词。具体的工作模式取决于我们的命令。在这个功能下,我们需要为每个 wordlist 指定一个不同的关键词,并在 URL 中使用这些关键词。
arjun和tplmap
scrawman的博客
11-11 1399
借这道题讲一下这两个工具的使用 https://github.com/s0md3v/Arjun
用golang编写一个像Arjun那样的参数爆破工具
GitChat
05-18 282
这次chat带各位骚年用golang语言手把手实现一个简单的工具,这个工具的作用是找到能将用户的输入反射到页面的有效参数,这些参数可能会是潜在的反射xss漏洞所在点,找出参数以后,可以将输出作为xss扫描工具输入, 进一步确认漏洞是否存在。如果骚年想了解怎么用golang写小工具,那么这次chat很适合你 在本场 Chat 中,会讲到如下内容: 这个工具的实现思路 golang 正则表达式,协程,...
推荐使用Arjun - 高效的HTTP参数发现套件
gitblog_00423的博客
08-08 661
推荐使用Arjun - 高效的HTTP参数发现套件 ArjunHTTP parameter discovery suite.项目地址:https://gitcode.com/gh_mirrors/ar/Arjun 项目介绍 在网络安全领域,深入挖掘网站潜在的可利用参数是一项至关重要的技能。Arjun正是为此而生的一款强大工具。由知安全专家S0MD3V开发维护,Arjun能够快速地识别URL中的...
CC oss-fuzz/fuzz-commit-graph.o /bin/sh: cc: 未找到命令 make: *** [oss-fuzz/fuzz-commit-graph.o] 错误 127
03-28
这个错误提示意味着在您的系统上没有找到 `cc` 命令,也就是 C 编译器。您需要安装 C 编译器才能编译代码。 如果您正在使用 Linux 系统,可以尝试安装 `build-essential` 包,它包含了常用的编译工具,包括 C 编译器。可以使用以下命令安装: ``` sudo apt-get install build-essential ``` 如果您使用的是 macOS,则可以安装 Xcode 开发工具,它包含了 C 编译器。可以从 App Store 下载并安装。 如果您使用的是 Windows,则可以安装 MinGW 或 Cygwin,它们提供了类 Unix 环境和 C 编译器。 安装好 C 编译器之后,您应该能够成功编译代码了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值