如何使用ParamSpider在Web文档中搜索敏感参数

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

⁹⁹⁺

如何使用ParamSpider在Web文档中搜索敏感参数

Alpha_h4ck 2020-08-03 18:43:25 238786

ParamSpider

ParamSpider是一款功能强大的Web参数挖掘工具，广大研究人员可以利用ParamSpider来从Web文档的最深处挖掘出目标参数。

核心功能

针对给定的域名，从Web文档中搜索相关参数；
针对给定的子域名，从Web文档中搜索相关参数；
支持通过指定的扩展名扫描引入的外部URL地址；
以用户友好且清晰的方式存储扫描的输出结果；
在无需与目标主机进行交互的情况下，从Web文档中挖掘参数；

工具安装&下载

注意：ParamSpider的正常使用需要在主机中安装配置Python 3.7+环境。

广大研究人员可以使用下列命令将该项目源码克隆至本地，并安装相关的依赖组件：

$ git clone https://github.com/devanshbatham/ParamSpider

$ cd ParamSpider

$ pip3 install -r requirements.txt

$ python3 paramspider.py --domain hackerone.com

工具使用选项

1 - 执行一次简单扫描任务[未使用--exclude参数]：

$ python3 paramspider.py --domain hackerone.com

-> Output ex : https://hackerone.com/test.php?q=FUZZ

2 - 使用特定扩展名指定外部URL地址：

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg,svg

3 - 查询嵌套参数：

$ python3 paramspider.py --domain hackerone.com --level high

-> Output ex : https://hackerone.com/test.php?p=test&q=FUZZ

4 - 存储扫描数据：

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg --output hackerone.txt

5 - 使用自定义占位符文本（默认为“FYZZ”）：

$ python3 paramspider.py --domain hackerone.com --placeholder FUZZ2

6 - 使用静默模式（不在屏幕输出URL地址）：

$ python3 paramspider.py --domain hackerone.com --quiet

7 - 排除特定子域名：

$ python3 paramspider.py --domain hackerone.com --subs False

ParamSpider + GF

假设你现在已经安装好了ParamSpider，现在你想要从大量的参数中筛选出有意思的参数，那你就可以配合GF工具一起使用了。

注意：在使用该工具之前，请确保本地主机配置好了Go环境。

安装和配置命令如下：

$ go get -u github.com/tomnomnom/gf

$ cp -r $GOPATH/src/github.com/tomnomnom/gf/examples ~/.gf

 

Note : Replace '/User/levi/go/bin/gf' with the path where gf binary is located in your system.

 

$ alias gf='/User/levi/go/bin/gf'

$ cd ~/.gf/

 

Note : Paste JSON files(https://github.com/devanshbatham/ParamSpider/tree/master/gf_profiles) in ~/.gf/ folder

 

Now run ParamSpider and navigate to the output directory

 

$ gf redirect domain.txt //for potential open redirect/SSRF parameters

$ gf xss domain.txt //for potential xss vulnerable parameters

$ gf potential domain.txt //for xss + ssrf + open redirect parameters

$ gf wordpress domain.txt //for wordpress urls

 

[More GF profiles to be added in future]

工具使用样例

$ python3 paramspider.py --domain bugcrowd.com --exclude woff,css,js,png,svg,php,jpg --output bugcrowd.txt

注意事项：因为该工具将从Web文档数据中爬取参数，因此输出结果存在一定假阳性。

项目地址

ParamSpider：【GitHub传送门】

# web安全 # 参数分析与扫描

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 Alpha_h4ck 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多

相关推荐

记一次WebShell查杀事件

工具

为了确保对外业务系统安全，我会经常浏览公司对外发布的业务系统、公司官网等，恰巧今天浏览官网发现了一处异常，在打开公司主页后，地址栏右侧提示一...

遁地

198526围观 · 3喜欢 2020-08-13

BloodHound使用指南

工具

BloodHound是单页的JavaScript的Web应用程序，能显示Active Directory环境中隐藏和相关联的主机内容。

锦行科技

299815围观 · 144收藏 · 10喜欢 2020-08-13

Vulnhub靶场presidential:1

Web安全

vulnhub靶场篇presidential:1通关技巧思路

FreeBuf_338653

352896围观 · 2收藏 · 20喜欢 2020-08-19

Weevely Webshell入侵检测之小试牛刀

Web安全

Webshell是黑客经常使用的攻击手法。

Sampson

447135围观 · 5收藏 · 19喜欢 2020-08-12

vBulletin 5.x 远程代码执行漏洞

漏洞

vBulletin组件介绍 vBulletin是论坛和社区发布软件的全球领导者。其安全性，强大的管理功能和速度，可为40,000多个在线社...

深信服千里目安全技术中心

252052围观 · 7喜欢 2020-08-12

Alpha_h4ck LV.10

好好学习，天天向上

2359 文章数
1021 关注者

Tetragon：一款基于eBPF的运行时环境安全监控工具

2025-01-21

DroneXtract：一款针对无人机的网络安全数字取证工具

2025-01-21

CNAPPgoat：一款针对云环境的安全实践靶场

2025-01-21

文章目录