用WWWGrep来检查你的网站元素安全

82次阅读

共计 2270 个字符，预计需要花费 6 分钟才能阅读完成。

导读	WWWGrep 是一款针对 HTML 安全的工具，该工具基于快速搜索“grepping”机制实现其功能，并且可以按照类型检查 HTML 元素，并允许执行单个、多个或递归搜索。

关于 WWWGrep

WWWGrep 是一款针对 HTML 安全的工具，该工具基于快速搜索“grepping”机制实现其功能，并且可以按照类型检查 HTML 元素，并允许执行单个、多个或递归搜索。Header 名称和值同样也可以通过这种方式实现递归搜索。
用 WWWGrep 来检查你的网站元素安全

功能介绍

使用递归选项在目标站点上搜索名为“username”或“password”的输入字段，快速定位登录页面。

快速检查 Header 以了解特定技术的使用情况。

通过搜索响应 Header 快速定位 Cookie 和 JWT 令牌。

与代理工具一起使用可通过一组链接快速自动执行递归。

通过搜索输入字段和参数处理符号，找到页面 (或站点) 上的所有输入接收器。

在页面上找到所有开发人员注释，以识别注释掉的代码(或待办事项)。

快速查找网页中存在的易受攻击的 JavaScript 代码。

识别页面代码中存在的 API 令牌和访问密钥。

快速测试管理下的多个站点是否使用了易受攻击的代码。

快速测试管理下的多个站点是否使用了易受攻击的框架 / 技术。

查找可能共享公共代码库的站点，以确定缺陷 / 漏洞的影响。

查找共享公共身份验证令牌 (Header 身份验证令牌) 的站点。

其它功能 …

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地，并安装好相关的依赖组件：

git clone https://github.com/OWASP/wwwgrep.git 
pip3 install -r requirements.txt 
python3 wwwgrep.py

依赖组件(pip3 install -r requirements.txt)

- Python 3.5+ 
- BeautifulSoup 4 
- UrlLib.parse 
- requests_html 
- argparse 
- requests 
- re 
- os.path

命令行选项

wwwgrep.py [target/file] [search_string] [search params/criteria/recursion etc] 
Search Inputs 
search_string 指定要搜索的字符串，或者为搜索参数中指定类型的所有对象指定“”-t --target 指定单个 URL 作为搜索的目标 
-f --file 指定包含要搜索的 URL 列表的文件 
Recursion 
-rr --recurse-root 将 URL 递归限制到目标中提供的域 
-ra --recurse-any 允许递归扩展到目标域之外 
Matching Criteria 
-i --ignore-case   执行不区分大小写的匹配（默认为按大小写）-d --dedupe       允许每页有重复的结果（默认为消除重复的结果）-r --no-redirects   不允许重定向（默认为允许重定向）-b --no-base-url   从输出中省略匹配的 URL（默认情况下包括 URL）-x --regex        允许使用正则表达式匹配项（搜索字符串被视为正则表达式，默认值为 off）-e --separator  指定和输出说明符（默认值为：）-j --java-render   打开页面对象和文本的 JavaScript 呈现（默认为关闭）-p --linked-js-on  打开链接（脚本 src 标记）Java 脚本的搜索功能（默认为关闭）Request Parameters  
-ps --https-proxy 以“https://:”格式指定 HTTPS 协议的代理 
-pp --http-proxy 以“https://:”格式指定 HTTP 协议的代理 
-hu --user-agent 指定在请求中用作用户代理的字符串 
-ha --auth-header 指定要在请求 Header 中使用的承载令牌或其他身份验证字符串 
Search Parameters 
-s --all       在所有页面 HTML 和脚本中搜索匹配的术语 
-sr --relative       搜索匹配相对 URL 页面链接 
-sa --absolute   搜索匹配绝对 URL 页面链接 
-si --input-fields   在页面中搜索匹配的输入字段 
-ss --scripts       搜索与搜索规范匹配的脚本标记 
-st --text          搜索页面上与搜索规范匹配的可见文本 
-sc --comments     搜索页面上与搜索规范匹配的注释 
-sm --meta          在页面元数据中搜索与搜索规范的匹配项 
-sf --hidden        在隐藏字段中搜索与搜索规范的特定匹配项 
-sh --header-name   搜索响应 Header 以查找与搜索规范的特定匹配项 
-sv --header-value   搜索响应 Header 值以查找与搜索规范的特定匹配项

工具使用样例

递归查找站点上名为 login 的所有输入字段，匹配不区分大小写：

wwwgrep.py -t https://www.target.com -i -si“login”-rr

在网站的所有页面上查找包含“待办事项(to do)”一词的所有注释：

wwwgrep.py -t https://www.target.com -i -sc“to do”-rr

查找特定网页上的所有注释：

wwwgrep.py -t https://www.target.com/some_page -i -sc“”

使用站点递归方式查找 input.txt 文件中包含的 web 应用程序列表中的所有隐藏字段：

wwwgrep.py -f input.txt -sf“”-rr

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年，有高配

腾讯云新客低至 82 元 / 年，老客户 99 元 / 年

代金券：在阿里云专用满减优惠券

正文完

星哥玩云-微信公众号

发表至： linux教程

2024-07-25

0

转载说明：除特殊说明外本站文章皆由CC-4.0协议发布，转载请注明出处。

flask框架如何实现修改密码和免密登录功能

HTML5 表单元素简介

Service Ingress

Foundation 价格表简介

手把手教你用永恒之蓝（Eternalblue）勒索病毒漏洞的高阶用法

XPath 实例概述

如何在Ubuntu 16.04中创建GIF动图

Nginx查看并发连接数的2种方法

一分钟干货告诉你区块链究竟是啥？

用WWWGrep来检查你的网站元素安全

基于开源MaxKB构建大语言模型的本地知识库系统

获取各大人工智能AI工具通过API和KEY调用的方法

安装开源软件ChatALL（齐叨）来聚合各大人工智能工具

给你的NAS无限可能，安装小晓雅全家桶影音库

vmware下的网卡分配问题

如何解决mysql本地登陆不能登录的问题

了解ansible架构与工作原理

内网之mobaxterm远程访问

Linux之虚拟服务器LVS搭建

腾讯云轻量应用服务器部署私有笔记，立省365元