Arjun-url参数扫描工具

最新推荐文章于 2024-08-08 07:38:55 发布
最新推荐文章于 2024-08-08 07:38:55 发布
阅读量3.3k 收藏 14
点赞数 3
分类专栏: 安全工具 文章标签: ar
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854790/article/details/121085331
版权
Arjun是一款强大的安全扫描工具,支持多种HTTP方法及数据格式,能够帮助用户扫描单个网址,处理复杂的注入攻击场景,支持多线程、自定义HTTP头部等高级功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

扫描单个网址

选择:-u

运行阿琼对一个单一的网址。

arjun -u https://api.example.com/endpoint

指定 HTTP 方法

选择:-m

默认情况下,Arjun 会查找方法参数。所有可用的方法包括:GETGET/POST/JSON/XML

arjun -u https://api.example.com/endpoint -m POST

进口目标

选择:-i

Arjun 支持从 BurpSuite 导入目标、简单的文本文件和原始请求文件。Arjun 可以自动识别输入文件的类型,因此您只需要指定路径。

arjun -i targets.txt

注意:在 Burp 套件中出口商品时取消检查"base64"选项。

出口结果

选择:-oJ/-oB/-oT

您可以使用相应的选项将结果导出给 BurpSuite 或 txt/JSON 文件。

arjun -u https://api.example.com/endpoint -oJ result.json

-oJ result.json
-oT result.txt
-oB 127.0.0.1:8080

指定注射点

Arjun 在默认使用或方法参数时可以检测指定位置的参数。所有可用的方法包括:JSONXMLGET/POST/JSON/XML

arjun -u https://api.example.com/endpoint -m JSON --include='{"root":{"a":"b",$arjun$}}'


arjun -u https://api.example.com/endpoint -m XML --include='<?xml><root>$arjun$</root>'

多线程

选择:-t

Arjun 默认情况下使用 2 个线程,但您可以根据您的网络连接和目标限额调整其性能。

arjun -u https://api.example.com/endpoint -t 10

请求之间的延迟

选择:-d

您可以通过使用选项延迟请求,但它也会设置线程数。-d1

arjun  -u https://api.example.com/endpoint -d 2

请求超时

选择:-T

您可以指定带有选项的 HTTP 请求的超时,默认值为 。-T15

arjun  -u https://api.example.com/endpoint -T 10

处理速率限制

选择:--stable

--stable设置线程数,并在请求之间引入 6 到 12 秒的随机延迟。1

arjun  -u https://api.example.com/endpoint --stable

包括持久性数据

选择:--include

假设您有一个 API 密钥,您需要随每个请求一起发送,告诉 Arjun 这样做,您可以使用以下选项:--include

arjun  -u https://api.example.com/endpoint --include 'api_key=xxxxx'


arjun  -u https://api.example.com/endpoint --include '{"api_key":"xxxxx"}'

要包含多个参数,请使用它们进行分离或将其传递为有效的 JSON 对象。&

控制查询/块大小

选择:-c

默认情况下,Arjun 在请求中包含 500 个参数,这些参数有时可能超过某些服务器的最大 URL 长度限制。您可以通过指定要同时发送的参数数来处理此类案例。-c

arjun -u https://api.example.com/endpoint -c 250

从被动源收集参数名称

选择:--passive

您可以从"共同绘图"、开放威胁交换和回路机器中收集域(非子域)的参数名称,并检查它们是否存在于您的目标上。

arjun https://api.example.com/endpoint --passive example.com

如果您想从目标 URL 中使用域,请使用 。它只适用于单个目标。--passive -

使用自定义 HTTP 头

选择:--headers

您可以简单地从命令行中添加自定义头,除以如下:\n

arjun -u https://api.example.com/endpoint --headers "Accept-Language: en-US\nCookie: null"

在没有任何争论的情况下使用该选项将打开您的文本编辑器(默认值为"nano"),您可以简单地将 HTTP 头粘贴在那里并按以保存。--headersCtrl + S

头演示

注意:Arjun 用作提示的默认编辑器,但您可以通过调整来更改它。nano/core/prompt.py

 

 

URL参数分析工具(源代码文章底部,使用tkinter轻量级ui库,配置容易,有任何问题评论区解答,大可不必细看开发文档,直接拿去用,能省不少看参数变化的时间)
ymqzhy的博客
03-08 1730
URL参数分析工具
CTF和渗透测试中可用命令直接安装的工具(自用)
最新发布
vortex5的博客
11-04 1083
GitHacker 是一款专门用于从.git泄露中恢复敏感信息的工具Arjun 是一款非常高效的 HTTP 参数发现工具,能够自动探测隐藏在 URL 中的参数,适用于发现诸如注入点、参数旁注等潜在漏洞。Fenjing (焚靖)是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本工具,可以自动攻击给定的网站或接口,省去手动测试接口,fuzz题目WAF的时间。zsteg 是一款针对 PNG 和 BMP 图片文件的隐写分析工具,特别适合用来检测图片中的隐藏信息。
Arjun:一款http参数扫描器的使用
mingyqf的博客
11-29 1306
尸者狗 2020-08-29 15:10:13 704 收藏 2 分类专栏: 安全工具 文章标签: linux 版权 安全工具 专栏收录该内容 14 篇文章0 订阅 订阅专栏 Arjun:一款http参数扫描器,主要就是爆破url参数的 项目地址 Arjun 特点 多线程 检测彻底 自动速率限制处理 典型的扫描需要30秒 GET/POST/JSON 方法支持 25,980个参数名称的大列表 下载安装 git clone https://github.com/s0md3v/Arjun.git 1 使用 我
推荐使用Arjun - 高效的HTTP参数发现套件
gitblog_00423的博客
08-08 746
推荐使用Arjun - 高效的HTTP参数发现套件 项目地址:https://gitcode.com/gh_mirrors/ar/Arjun 项目介绍 在网络安全领域,深入挖掘网站潜在的可利用参数是一项至关重要的技能。Arjun正是为此而生的一款强大工具。由知名安全专家S0MD3V开发维护,Arjun能够快速地识别URL中的查询参数,帮助你在几分钟内找到可能被忽略的安全漏洞点。 技术分析 Arju...
Python-Arjun是一个用于查找隐藏的GET和POST参数的python脚本
08-10
Arjun是一个python脚本,用于使用regex和bruteforce查找隐藏的GET和POST参数
推荐 URL 扫描工具
qq_24496111的博客
02-27 1104
最近网上冲浪中钓鱼网站太多,所以查了几种URL扫描仪。我正在使用的扫描仪有两种。如果以前使用过这个工具或者有其他不错的工具,请留言告诉我~!
探索网页深处的URL神器——URLFinder
gitblog_00080的博客
05-12 1274
探索网页深处的URL神器——URLFinder 项目地址:https://gitcode.com/gh_mirrors/ur/URLFinder 项目介绍 在网络安全和Web应用测试领域,发现隐藏的URL和API接口是一项至关重要的任务。URLFinder正是这样一款强大的工具,它专为快速、全面地挖掘网页中潜藏的信息而设计。通过解析JavaScript和URLURLFinder可以帮助你找到那些...
Web入门-URL扫描工具dirsearch的使用
Henrik-Yao的博客
01-07 7715
攻防世界Web新手入门常用工具-dirsearch-Web路径扫描-暴力破解Web服务器中的目录和文件 Dirsearch是一种成熟的命令行工具,旨在暴力破解Web服务器中的目录和文件。 将一些代码保存到一个名为dirsearch.py的文件即可使用。 代码如下: #!/usr/bin/env python3 # -*- coding: utf-8 -*- # This program is free software; you can redistribute it and/or modify #
FUZZ参数工具-Arjun
SuperherRo的博客
08-21 3172
Arjun 可以查找 URL 端点的查询参数。如果您不明白这意味着什么,没关系,请继续阅读。 Web 应用程序使用参数(或查询)来接受用户输入,请考虑以下示例 http://api.example.com/v1/userinfo?id=751634589 此 URL 似乎加载特定用户 ID 的用户信息,但是如果存在一个名为adminwhich 的参数,当设置为True使端点提供有关用户的更多信息时会怎样? 这就是 Arjun 所做的,它通过包含 25,890 个参数名称的巨大默认字典查找有效的 HTT
Arjun:HTTP参数发现及XSS漏洞扫描工具
这个字典是Arjun扫描的基础,它覆盖了大量的参数命名约定,使得Arjun能够较为全面地发现Web应用中的参数Arjun之所以效率较高,是因为它能够在不到30秒的时间内浏览这个庞大的参数列表,同时只对目标发起50-60个...
python-arjun是一个用于查找隐藏的get和post参数的python脚本
09-02
使用python-arjun可以为渗透测试人员和安全研究人员提供一个快速和高效的工具,以查找目标网站中可能存在的隐藏参数。通过查找这些参数,攻击者可以进一步深入研究,发现潜在的安全漏洞,或者收集目标网站的敏感信息...
网址扫描器「Url Scanner」-crx插件
03-15
立即通过QR扫描仪获取设备上的相应URL 您是否曾经想过需要在浏览台式机或笔记本电脑上的页面时快速打开智能手机上的URL? 在移动浏览器地址栏中手动输入,通过电子邮件或Messenger进行复制和发送是实现它的乏味方法。 嵌入相同网址的Chrome浏览器中的QR码扫描仪插件如何? 使用您最喜欢的QR码扫描仪,然后在移动浏览器中打开网页。 URL扫描器提供的好处:#快速访问#最小的努力#节省时间1.将插件添加为chrome扩展程序。 2.要访问智能设备上的URL,请单击插件图标,屏幕上将显示当前页面的QR码。 3.使用智能手机读取QR码,并以最小的努力快速访问设备中的URL。 支持语言:English
UrlScan3.1_X86_X64工具及使用文档
11-29
UrlScan3.1_X86_X64工具及使用文档 任何一种使用数据库web程序(当然,也包括桌面程序)都有被SQL注入的风险。防止被SQL注入,最基本的方法是在代码级别就要阻止这种可能,这个网上讲的很多,我就不多说了。不过如果你拿到的是一个已经完工的产品,这个时候该如何解决呢?我介绍几种对于ASP和ASP.NET有效的防止SQL注入的方案,而且是免费的。
Url参数获取工具.zip
12-18
C#开发,含源码,可根据实际需要而改动代码,编译成自己定制的工具工具代替人,效率会提高很多,且工具在于反复使用,用得越多,创造的价值越多,需要的请拿去!
HTTP url解析
11-30
http的url参数解析,包括编解码等功能
安全测试:渗透测试工具集 siusiu 初体验
hi_bigbai的博客
09-22 2839
siusiu初体验,一款基于docker的渗透测试工具箱,致力于做到渗透工具随身携带、开箱即用。减少渗透测试工程师花在安装工具、记忆工具使用方法上的时间和精力。
实战内测-某内测项目站点FUZZ到Sql注入
2401_83799022的博客
08-01 430
首先这次渗透测试是我朋友叫我帮他对该网站进行一个测试(已授权,未授权禁止测试),是一个科技园公司的一个网站,首先也是对该网站进行一个信息收集,然后对该网站的域名进行一个资产收集,直接对这个网站的主域名进行测试比较难,那么我们就可以去看看利用FOFA或者鹰图之类的空间引擎包括爱企查等进行一个边缘资产的收集。其实就是一种对请求参数的模糊测试,简单来说就是对一个接口的某个参数或多个参数用自定义的内容进行批量提交,根据接口返回内容来判断自定义内容参数对接口的影响。是一款可以找到URL端点查询参数工具
Scout:一款功能强大的轻量级URL模糊测试与爬取工具
阿道夫的博客
02-11 1164
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
探索 URLScan:强大的网页抓取工具
gitblog_00033的博客
03-15 816
探索 URLScan:强大的网页抓取工具 项目地址:https://gitcode.com/gh_mirrors/ur/urlscan URLScan 是一款轻量级的网页抓取工具,它可以帮助您快速、方便地提取网页上的有用信息。无论您是开发者、数据分析师还是普通网民,URLScan 都将满足您的各种需求。 什么是 URLScan? URLScan 是一个用于抓取网页内容的工具,它通过解析 HTML ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月清风~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值