阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

用WWWGrep来检查你的网站元素安全

123次阅读
没有评论

共计 2270 个字符,预计需要花费 6 分钟才能阅读完成。

导读 WWWGrep 是一款针对 HTML 安全的工具,该工具基于快速搜索“grepping”机制实现其功能,并且可以按照类型检查 HTML 元素,并允许执行单个、多个或递归搜索。
关于 WWWGrep

WWWGrep 是一款针对 HTML 安全的工具,该工具基于快速搜索“grepping”机制实现其功能,并且可以按照类型检查 HTML 元素,并允许执行单个、多个或递归搜索。Header 名称和值同样也可以通过这种方式实现递归搜索。
用 WWWGrep 来检查你的网站元素安全

功能介绍
  • 使用递归选项在目标站点上搜索名为“username”或“password”的输入字段,快速定位登录页面。
  • 快速检查 Header 以了解特定技术的使用情况。
  • 通过搜索响应 Header 快速定位 Cookie 和 JWT 令牌。
  • 与代理工具一起使用可通过一组链接快速自动执行递归。
  • 通过搜索输入字段和参数处理符号,找到页面 (或站点) 上的所有输入接收器。
  • 在页面上找到所有开发人员注释,以识别注释掉的代码(或待办事项)。
  • 快速查找网页中存在的易受攻击的 JavaScript 代码。
  • 识别页面代码中存在的 API 令牌和访问密钥。
  • 快速测试管理下的多个站点是否使用了易受攻击的代码。
  • 快速测试管理下的多个站点是否使用了易受攻击的框架 / 技术。
  • 查找可能共享公共代码库的站点,以确定缺陷 / 漏洞的影响。
  • 查找共享公共身份验证令牌 (Header 身份验证令牌) 的站点。
  • 其它功能 …
  • 工具安装

    广大研究人员可以使用下列命令将该项目源码克隆至本地,并安装好相关的依赖组件:

    git clone https://github.com/OWASP/wwwgrep.git
    pip3 install -r requirements.txt
    python3 wwwgrep.py

    依赖组件(pip3 install -r requirements.txt)

    - Python 3.5+
    - BeautifulSoup 4
    - UrlLib.parse
    - requests_html
    - argparse
    - requests
    - re
    - os.path
    命令行选项
    wwwgrep.py [target/file] [search_string] [search params/criteria/recursion etc]
    Search Inputs
    search_string 指定要搜索的字符串,或者为搜索参数中指定类型的所有对象指定“”-t --target 指定单个 URL 作为搜索的目标
    -f --file 指定包含要搜索的 URL 列表的文件
    Recursion
    -rr --recurse-root 将 URL 递归限制到目标中提供的域
    -ra --recurse-any 允许递归扩展到目标域之外
    Matching Criteria
    -i --ignore-case 执行不区分大小写的匹配(默认为按大小写)-d --dedupe 允许每页有重复的结果(默认为消除重复的结果)-r --no-redirects 不允许重定向(默认为允许重定向)-b --no-base-url 从输出中省略匹配的 URL(默认情况下包括 URL)-x --regex 允许使用正则表达式匹配项(搜索字符串被视为正则表达式,默认值为 off)-e --separator 指定和输出说明符(默认值为:)-j --java-render 打开页面对象和文本的 JavaScript 呈现(默认为关闭)-p --linked-js-on 打开链接(脚本 src 标记)Java 脚本的搜索功能(默认为关闭)Request Parameters
    -ps --https-proxy 以“https://:”格式指定 HTTPS 协议的代理
    -pp --http-proxy 以“https://:”格式指定 HTTP 协议的代理
    -hu --user-agent 指定在请求中用作用户代理的字符串
    -ha --auth-header 指定要在请求 Header 中使用的承载令牌或其他身份验证字符串
    Search Parameters
    -s --all 在所有页面 HTML 和脚本中搜索匹配的术语
    -sr --relative 搜索匹配相对 URL 页面链接
    -sa --absolute 搜索匹配绝对 URL 页面链接
    -si --input-fields 在页面中搜索匹配的输入字段
    -ss --scripts 搜索与搜索规范匹配的脚本标记
    -st --text 搜索页面上与搜索规范匹配的可见文本
    -sc --comments 搜索页面上与搜索规范匹配的注释
    -sm --meta 在页面元数据中搜索与搜索规范的匹配项
    -sf --hidden 在隐藏字段中搜索与搜索规范的特定匹配项
    -sh --header-name 搜索响应 Header 以查找与搜索规范的特定匹配项
    -sv --header-value 搜索响应 Header 值以查找与搜索规范的特定匹配项
    工具使用样例

    递归查找站点上名为 login 的所有输入字段,匹配不区分大小写:

    wwwgrep.py -t https://www.target.com -i -si“login”-rr

    在网站的所有页面上查找包含“待办事项(to do)”一词的所有注释:

    wwwgrep.py -t https://www.target.com -i -sc“to do”-rr

    查找特定网页上的所有注释:

    wwwgrep.py -t https://www.target.com/some_page -i -sc“”

    使用站点递归方式查找 input.txt 文件中包含的 web 应用程序列表中的所有隐藏字段:

    wwwgrep.py -f input.txt -sf“”-rr

    阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

    腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

    代金券:在阿里云专用满减优惠券

    正文完
    星哥玩云-微信公众号
    post-qrcode
     0
    星锅
    版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计2270字。
    转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
    【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
    阿里云-最新活动爆款每日限量供应
    评论(没有评论)
    验证码
    【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中