废话不多说,当对一个网站各种工具、功能点、思路都用上之后,还是觉得会不会遗漏了什么资产的时候怎么办,在用burp进行渗透测试的过程中,burp会基于数据包对该站点的资产进行爬虫
1.右键
2.save selected items
3.保存为1.txt至桌面
4.用sublime打开1.txt
关注url这个标签,用正则匹配所有的url标签
粘贴到任意空白文件中,将所有除url外的干扰项替换为空
最终结果
亲测比dirsearch、jsfinder等寻找资产的时间来得短且更全面,能发现一些其他的资产,所有网站都可以使用这个小技巧