go 设置url参数_如何使用ParamSpider在Web文档中搜索敏感参数

于 2020-12-26 01:51:03 发布
阅读量343 收藏
点赞数
文章标签: go 设置url参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34019786/article/details/112099500
版权
ParamSpider是一款强大的Web参数挖掘工具,适用于寻找目标参数。它支持针对域名和子域名的搜索,能处理外部URL,提供多种扫描选项,并可与GF工具结合使用,帮助研究人员在Go环境中筛选有意义的参数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

f5c578a94411ae00f72e08e7b733c39e.png

ParamSpider

ParamSpider是一款功能强大的Web参数挖掘工具,广大研究人员可以利用ParamSpider来从Web文档的最深处挖掘出目标参数。

核心功能

  • 针对给定的域名,从Web文档中搜索相关参数;

  • 针对给定的子域名,从Web文档中搜索相关参数;

  • 支持通过指定的扩展名扫描引入的外部URL地址;

  • 以用户友好且清晰的方式存储扫描的输出结果;

  • 在无需与目标主机进行交互的情况下,从Web文档中挖掘参数;

工具安装&下载

注意:ParamSpider的正常使用需要在主机中安装配置Python 3.7+环境。

广大研究人员可以使用下列命令将该项目源码克隆至本地,并安装相关的依赖组件:

$ git clone https://github.com/devanshbatham/ParamSpider$ cd ParamSpider$ pip3 install -r requirements.txt$ python3 paramspider.py --domain hackerone.com

工具使用选项

1 - 执行一次简单扫描任务[未使用—exclude参数]:

$ python3 paramspider.py --domain hackerone.com-> Output ex : https://hackerone.com/test.php?q=FUZZ

2 - 使用特定扩展名指定外部URL地址:

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg,svg

3 - 查询嵌套参数:

$ python3 paramspider.py --domain hackerone.com --level high-> Output ex : https://hackerone.com/test.php?p=test&q=FUZZ

4 - 存储扫描数据:

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg --output hackerone.txt

5 - 使用自定义占位符文本(默认为“FYZZ”):

$ python3 paramspider.py --domain hackerone.com --placeholder FUZZ2

6 - 使用静默模式(不在屏幕输出URL地址):

$ python3 paramspider.py --domain hackerone.com --quiet

7 - 排除特定子域名:

$ python3 paramspider.py --domain hackerone.com --subs False

ParamSpider + GF

假设你现在已经安装好了ParamSpider,现在你想要从大量的参数中筛选出有意思的参数,那你就可以配合GF工具一起使用了。

注意:在使用该工具之前,请确保本地主机配置好了Go环境。

安装和配置命令如下:

$ go get -u github.com/tomnomnom/gf$ cp -r $GOPATH/src/github.com/tomnomnom/gf/examples ~/.gfNote : Replace '/User/levi/go/bin/gf' with the path where gf binary is located in your system.$ alias gf='/User/levi/go/bin/gf'$ cd ~/.gf/Note : Paste JSON files(https://github.com/devanshbatham/ParamSpider/tree/master/gf_profiles) in ~/.gf/ folderNow run ParamSpider and navigate to the output directory$ gf redirect domain.txt //for potential open redirect/SSRF parameters$ gf xss domain.txt //for potential xss vulnerable parameters$ gf potential domain.txt //for xss + ssrf + open redirect parameters$ gf wordpress domain.txt //for wordpress urls[More GF profiles to be added in future]

工具使用样例

$ python3 paramspider.py --domain bugcrowd.com --exclude woff,css,js,png,svg,php,jpg --output bugcrowd.txt

注意事项:因为该工具将从Web文档数据中爬取参数,因此输出结果存在一定假阳性。

项目地址

ParamSpider:

【https://github.com/devanshbatham/ParamSpider】

1d4726569635ce05a0e7a08bd6c1ac4e.gif

精彩推荐

9143cd3824ead37efb9674ef0f6a5403.png 69e7d1eef22b64f646fb9b59eee95b08.png f139be36f49cbacf6cf21319b41490c7.png

341b1cf59d14d662197a02e2135e8bea.pngcdf3e2623d88910361da67d398f14f35.png06b903f787d1bd2becfa58e9826e9e5e.png

776e8517a09e85cc4773941ea12a6df0.gif

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值