黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月02日 23:34:00

如何使用WWWGrep检查你的网站元素安全

关于WWWGrep

WWWGrep是一款针对HTML基于快速搜索的安全工具“grepping”该机制实现其功能,并可根据类型进行检查HTML允许执行单个、多个或递归搜索的元素。Header名称和值也可以通过这种方式实现递归搜索。

功能介绍

                   
  • 使用递归选项在目标站点搜索名称“username”或“password”输入字段,快速定位登录页面。
    •                
  • 快速检查Header以了解特定技术的使用情况。
    •                
  • 搜索响应Header快速定位Cookie和JWT令牌。
    •                
  • 与代理工具一起使用可以通过一组链接快速自动执行递归。
    •                
  • 在页面(或站点)上找到所有的输入接收器,搜索输入字段和参数处理符号。
    •                
  • 在页面上找到所有开发人员的注释,以识别注释代码(或待办事项)。
    •                
  • 快速搜索网页中易受攻击的存在JavaScript代码。
    •                
  • 识别页面代码中存在的识别页面代码API令牌和访问密钥。
    •                
  • 快速测试管理下的多个站点是否使用易攻击代码。
    •                
  • 在快速测试管理下,多个站点是否使用易受攻击的框架/技术。
    •                
  • 找到可能共享公共代码库的网站,以确定缺陷/漏洞的影响。
    •                
  • 查找共享公共身份验证令牌(Header身份验证令)网站。
    •                
  • 其它功能...

工具安装

大多数研究人员可以使用以下命令将项目源代码克隆到当地,并安装相关的依赖组件:

  • gitclonehttps://github.com/OWASP/wwwgrep.git
  • pip3install-rrequirements.txt
  • python3wwwgrep.py<argumentsandparameters>

    • 依赖组件(pip3 install -r requirements.txt)

  • -Python3.5
  • -BeautifulSoup4
  • -UrlLib.parse
  • -requests_html
  • -argparse
  • -requests
  • -re
  • -os.path

    • 命令行选项

  • wwwgrep.py[target/file][search_string][searchparams/criteria/recursionetc]
  • SearchInputs
  • search_string指定要搜索的字符串,或指定搜索参数中指定类型的所有对象“”
  • -t--target指定单个URL作为搜索的目标
  • -f--file指定包括搜索URL列表的文件
  • Recursion
  • -rr--recurse-root将URL将递归限制在目标中提供的域
  • -ra--recurse-any允许递归扩展到目标域以外
  • MatchingCriteria
  • -i--ignore-case实施不区分大小写的匹配(默认为大小写)
  • -d--dedupe允许每个页面有重复结果(默认为消除重复结果)
  • -r--no-redirects不允许重定向(默认允许重定向)
  • -b--no-base-url从输出中省略匹配的URL(默认情况下包括URL)
  • -x--regex允许使用正则表达式匹配项(搜索字符串被视为正则表达式,默认值为off)
  • -e--separator指定和输出说明符(默认值为:)
  • -j--java-render打开页面对象和文本JavaScript呈现(默认为关闭)
  • -p--linked-js-on打开链接(脚本src标记)Java脚本的搜索功能(默认为关闭)
  • RequestParameters
  • -ps--https-proxy以“https://<ip>:<port>”格式指定HTTPS协议的代理
  • -pp--http-proxy以“https://<ip>:<port>”格式指定HTTP协议的代理
  • -hu--user-agent指定用作请求中用户代理的字符串
  • -ha--auth-header要求指定Header承载令牌或其他身份验证字符串
  • SearchParameters
  • -s--all在所有页面HTML与脚本中搜索匹配的术语
  • -sr--relative相对于搜索匹配URL页面链接
  • -sa--absolute绝对的搜索匹配URL页面链接
  • -si--input-fields在页面中搜索匹配的输入字段
  • -ss--scripts脚本标记与搜索规范相匹配
  • -st--text可见文本匹配搜索页面上的搜索规范
  • -sc--comments与搜索规范相匹配的注释在搜索页面上
  • -sm--meta在页面元数据中搜索与搜索规范的匹配项
  • -sf--hidden在隐藏字段中搜索与搜索规范的特定匹配项
  • -sh--header-name搜索响应Header找到与搜索规范相匹配的特定匹配项
  • -sv--header-value搜索响应Header与搜索规范相匹配的项目值得搜索

    • 样品用于工具

    递归搜索站点上名login所有输入字段,匹配不区分大小写:

  • wwwgrep.py-thttps://www.target.com-i-si“login”-rr

    • 在网站的所有页面上搜索包括“待办事项(to do)”一个词的所有注释:

  • wwwgrep.py-thttps://www.target.com-i-sc“todo”-rr

    • 在特定网页上搜索所有注释:

  • wwwgrep.py-thttps://www.target.com/some_page-i-sc“”

    • 找到使用站点递归的方法input.txt文件中包含的web应用程序列表中的所有隐藏字段:

  • wwwgrep.py-finput.txt-sf“”-rr

    • 项目地址

    WWWGrep:【GitHub传送门】

       

    标签:WWWGrep HTML安全 安全工具 

    作者:访客 , 分类:勒索病毒 , 浏览:500 , 评论:1

    • 评论列表:
    •  笙沉饮惑
       发布于 2022-06-06 04:45:07  回复该评论
    • 关于WWWGrepWWWGrep是一款针对HTML基于快速搜索的安全工具“grepping”该机制实现其功能,并可根据类型进行检查HTML允许执行单个、多个或递归搜索的元素。Header名称和值也可以通过这种方式实现递归搜索。功能介绍                使用

    发表评论:

    Powered By

    Copyright Your WebSite.Some Rights Reserved.