Burp Suite作为渗透工具被不少人用于渗透测试查询、保存等接口,而我们界面没调用的接口往往也隐藏着巨大的安全风险。
测试项目
dirsearch工具
访问:https://github.com/maurosoria/dirsearch 或 下载作者上传的资源包
解压后,使用cmd进入解压目录,输入下面的命令。
python dirsearch.py -u host
python dirsearch.py -u http://localhost:8035/
绿色url代表存在安全风险,作者该项目暂无无法演示,有疑问请评论区评论。
提示No module named ‘pkg_resources’
File “D:\Program Files\dirsearch-master\dirsearch.py”, line 23, in
from pkg_resources import DistributionNotFound, VersionConflict
ModuleNotFoundError: No module named ‘pkg_resources’
解决方法
未下载
pip install setuptools
已下载
pip install --upgrade setuptools
或
pip uninstall setuptools
pip install setuptools
Actuator端点
本地启动地址
http://localhost:8035/
测试端点
例:http://localhost:8035/actuator/health
常见的端点(也欢迎读者评论区进行补充)
/actuator/health
/actuator/scheduledtasks
/actuator/prometheus
/actuator/v3/api-docs
/actuator/httptrace
/actuator/loggers
/actuator/trace
/actuator/info
/actuator/conditions
/actuator/metrics
/actuator/beans
/actuator/env
/actuator/threaddump
/actuator/auditevents