渗透测试工具及插件第一期-FindSomething

这一期给大家讲一个浏览器插件FindSomething,可以说是好用,快速出洞(前提是存在的情况下),他的原理是什么呢,其实就是爬取网站中的源码和JS文件,看是否存在未授权访问的API接口,可以说是出道及巅峰很省事,废话不多说,给大家演示操作。
注:本文章只用于安全学习,出事一率与作者无关!!!
1、它是长这个样子的,一只快乐的小熊毛,你可以通过谷歌、火狐等等插件扩展找到他,然后把它钉在你的浏览器上。
在这里插入图片描述
2、这时候打开你要测试的系统,点开他,你会发现它里面爬取了很多路径,嘿嘿,这时候就可以把这些路径复制下来拼接到网站域名后面,如果存在未授权接口,恭喜你找到了漏洞。在这里插入图片描述

3、你以为只有这些吗,那就大错特错,想想,万一泄露的接口路径有几百上千个你真的要拿手去一个一个拼接吗?这时候有的小伙伴就会想起来了,对,就是Burpsuite,拿它去跑一下。首先一键全部复制
在这里插入图片描述
4、打开你的Burpsuite,抓取一个需要测试的网站的包,右键发送到bp的攻击模块
在这里插入图片描述
5、在路径处添加变量,payloads里面粘贴进去刚才FindSomething复制的内容,别忘了把下面字符编码的地方勾选掉,防止出错。
在这里插入图片描述
在这里插入图片描述在这里插入图片描述6、开始Start attack,然后判断相应包的数据是否存在未授权获取敏感信息。
在这里插入图片描述
后续继续更新其他有用的工具,有需要的小伙伴关注一下喽,也可以私信问我
有更好的渗透工具也可以评论区留言,一起学习学习

  • 15
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值