雪鹰领主,如何发布网络小说,穿越小说完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

如何使用WWWGrep檢查你的網(wǎng)站元素安全

關(guān)于WWWGrep

WWWGrep是一款針對(duì)HTML安全的工具，該工具基于快速搜索“grepping”機(jī)制實(shí)現(xiàn)其功能，并且可以按照類型檢查HTML元素，并允許執(zhí)行單個(gè)、多個(gè)或遞歸搜索。Header名稱和值同樣也可以通過(guò)這種方式實(shí)現(xiàn)遞歸搜索。

成都創(chuàng)新互聯(lián)公司，為您提供重慶網(wǎng)站建設(shè)公司、網(wǎng)站制作、網(wǎng)站營(yíng)銷推廣、網(wǎng)站開(kāi)發(fā)設(shè)計(jì)，對(duì)服務(wù)高空作業(yè)車租賃等多個(gè)行業(yè)擁有豐富的網(wǎng)站建設(shè)及推廣經(jīng)驗(yàn)。成都創(chuàng)新互聯(lián)公司網(wǎng)站建設(shè)公司成立于2013年,提供專業(yè)網(wǎng)站制作報(bào)價(jià)服務(wù),我們深知市場(chǎng)的競(jìng)爭(zhēng)激烈，認(rèn)真對(duì)待每位客戶，為客戶提供賞心悅目的作品。與客戶共同發(fā)展進(jìn)步，是我們永遠(yuǎn)的責(zé)任！

功能介紹

使用遞歸選項(xiàng)在目標(biāo)站點(diǎn)上搜索名為“username”或“password”的輸入字段，快速定位登錄頁(yè)面。
快速檢查Header以了解特定技術(shù)的使用情況。
通過(guò)搜索響應(yīng)Header快速定位Cookie和JWT令牌。
與代理工具一起使用可通過(guò)一組鏈接快速自動(dòng)執(zhí)行遞歸。
通過(guò)搜索輸入字段和參數(shù)處理符號(hào)，找到頁(yè)面(或站點(diǎn))上的所有輸入接收器。
在頁(yè)面上找到所有開(kāi)發(fā)人員注釋，以識(shí)別注釋掉的代碼(或待辦事項(xiàng))。
快速查找網(wǎng)頁(yè)中存在的易受攻擊的JavaScript代碼。
識(shí)別頁(yè)面代碼中存在的API令牌和訪問(wèn)密鑰。
快速測(cè)試管理下的多個(gè)站點(diǎn)是否使用了易受攻擊的代碼。
快速測(cè)試管理下的多個(gè)站點(diǎn)是否使用了易受攻擊的框架/技術(shù)。
查找可能共享公共代碼庫(kù)的站點(diǎn)，以確定缺陷/漏洞的影響。
查找共享公共身份驗(yàn)證令牌(Header身份驗(yàn)證令牌)的站點(diǎn)。
其它功能...

工具安裝

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地，并安裝好相關(guān)的依賴組件：

 
   
  git clone https://github.com/OWASP/wwwgrep.git   
  pip3 install -r requirements.txt   
  python3 wwwgrep.py

依賴組件(pip3 install -r requirements.txt)

 
   
  - Python 3.5+   
  - BeautifulSoup 4   
  - UrlLib.parse   
  - requests_html   
  - argparse   
  - requests   
  - re   
  - os.path

命令行選項(xiàng)

 
   
  wwwgrep.py [target/file] [search_string] [search params/criteria/recursion etc]   
  Search Inputs   
  search_string 指定要搜索的字符串，或者為搜索參數(shù)中指定類型的所有對(duì)象指定“”   
  -t --target 指定單個(gè)URL作為搜索的目標(biāo)   
  -f --file 指定包含要搜索的URL列表的文件   
  Recursion   
  -rr --recurse-root 將URL遞歸限制到目標(biāo)中提供的域   
  -ra --recurse-any 允許遞歸擴(kuò)展到目標(biāo)域之外   
  Matching Criteria   
  -i --ignore-case   執(zhí)行不區(qū)分大小寫(xiě)的匹配（默認(rèn)為按大小寫(xiě)）   
  -d --dedupe       允許每頁(yè)有重復(fù)的結(jié)果（默認(rèn)為消除重復(fù)的結(jié)果）   
  -r --no-redirects   不允許重定向（默認(rèn)為允許重定向）   
  -b --no-base-url   從輸出中省略匹配的URL（默認(rèn)情況下包括URL）   
  -x --regex        允許使用正則表達(dá)式匹配項(xiàng)（搜索字符串被視為正則表達(dá)式，默認(rèn)值為off）   
  -e --separator  指定和輸出說(shuō)明符（默認(rèn)值為：）   
  -j --java-render   打開(kāi)頁(yè)面對(duì)象和文本的JavaScript呈現(xiàn)（默認(rèn)為關(guān)閉）   
  -p --linked-js-on  打開(kāi)鏈接（腳本src標(biāo)記）Java腳本的搜索功能（默認(rèn)為關(guān)閉）   
  Request Parameters    
  -ps --https-proxy 以“https://:”格式指定HTTPS協(xié)議的代理   
  -pp --http-proxy 以“https://:”格式指定HTTP協(xié)議的代理   
  -hu --user-agent 指定在請(qǐng)求中用作用戶代理的字符串   
  -ha --auth-header 指定要在請(qǐng)求Header中使用的承載令牌或其他身份驗(yàn)證字符串   
  Search Parameters   
  -s --all       在所有頁(yè)面HTML和腳本中搜索匹配的術(shù)語(yǔ)   
  -sr --relative       搜索匹配相對(duì)URL頁(yè)面鏈接   
  -sa --absolute   搜索匹配絕對(duì)URL頁(yè)面鏈接   
  -si --input-fields   在頁(yè)面中搜索匹配的輸入字段   
  -ss --scripts       搜索與搜索規(guī)范匹配的腳本標(biāo)記   
  -st --text          搜索頁(yè)面上與搜索規(guī)范匹配的可見(jiàn)文本   
  -sc --comments     搜索頁(yè)面上與搜索規(guī)范匹配的注釋   
  -sm --meta          在頁(yè)面元數(shù)據(jù)中搜索與搜索規(guī)范的匹配項(xiàng)   
  -sf --hidden        在隱藏字段中搜索與搜索規(guī)范的特定匹配項(xiàng)   
  -sh --header-name   搜索響應(yīng)Header以查找與搜索規(guī)范的特定匹配項(xiàng)   
  -sv --header-value   搜索響應(yīng)Header值以查找與搜索規(guī)范的特定匹配項(xiàng)

工具使用樣例

遞歸查找站點(diǎn)上名為login的所有輸入字段，匹配不區(qū)分大小寫(xiě)：

 
   
  wwwgrep.py -t https://www.target.com -i -si “l(fā)ogin” -rr

在網(wǎng)站的所有頁(yè)面上查找包含“待辦事項(xiàng)(to do)”一詞的所有注釋：

 
   
  wwwgrep.py -t https://www.target.com -i -sc “to do” -rr

查找特定網(wǎng)頁(yè)上的所有注釋：

 
   
  wwwgrep.py -t https://www.target.com/some_page -i -sc “”

使用站點(diǎn)遞歸方式查找input.txt文件中包含的web應(yīng)用程序列表中的所有隱藏字段：

 
   
  wwwgrep.py -f input.txt -sf “” -rr

項(xiàng)目地址

WWWGrep：【GitHub傳送門(mén)】

網(wǎng)頁(yè)名稱：如何使用WWWGrep檢查你的網(wǎng)站元素安全
標(biāo)題URL：http://m.fisionsoft.com.cn/article/djchopg.html