用WWWGrep来检查你的网站元素安全
WWWGrep是一款针对HTML安全的工具,该工具基于快速搜索“grepping”机制实现其功能,并且可以按照类型检查HTML元素,并允许执行单个、多个或递归搜索。 |
关于WWWGrep
WWWGrep是一款针对HTML安全的工具,该工具基于快速搜索“grepping”机制实现其功能,并且可以按照类型检查HTML元素,并允许执行单个、多个或递归搜索。Header名称和值同样也可以通过这种方式实现递归搜索。
功能介绍
- 使用递归选项在目标站点上搜索名为“username”或“password”的输入字段,快速定位登录页面。
- 快速检查Header以了解特定技术的使用情况。
- 通过搜索响应Header快速定位Cookie和JWT令牌。
- 与代理工具一起使用可通过一组链接快速自动执行递归。
- 通过搜索输入字段和参数处理符号,找到页面(或站点)上的所有输入接收器。
- 在页面上找到所有开发人员注释,以识别注释掉的代码(或待办事项)。
- 快速查找网页中存在的易受攻击的JavaScript代码。
- 识别页面代码中存在的API令牌和访问密钥。
- 快速测试管理下的多个站点是否使用了易受攻击的代码。
- 快速测试管理下的多个站点是否使用了易受攻击的框架/技术。
- 查找可能共享公共代码库的站点,以确定缺陷/漏洞的影响。
- 查找共享公共身份验证令牌(Header身份验证令牌)的站点。
- 其它功能...
工具安装
广大研究人员可以使用下列命令将该项目源码克隆至本地,并安装好相关的依赖组件:
git clone https://github.com/OWASP/wwwgrep.git pip3 install -r requirements.txt python3 wwwgrep.py
依赖组件(pip3 install -r requirements.txt)
- Python 3.5+ - BeautifulSoup 4 - UrlLib.parse - requests_html - argparse - requests - re - os.path
命令行选项
wwwgrep.py [target/file] [search_string] [search params/criteria/recursion etc] Search Inputs search_string 指定要搜索的字符串,或者为搜索参数中指定类型的所有对象指定“” -t --target 指定单个URL作为搜索的目标 -f --file 指定包含要搜索的URL列表的文件 Recursion -rr --recurse-root 将URL递归限制到目标中提供的域 -ra --recurse-any 允许递归扩展到目标域之外 Matching Criteria -i --ignore-case 执行不区分大小写的匹配(默认为按大小写) -d --dedupe 允许每页有重复的结果(默认为消除重复的结果) -r --no-redirects 不允许重定向(默认为允许重定向) -b --no-base-url 从输出中省略匹配的URL(默认情况下包括URL) -x --regex 允许使用正则表达式匹配项(搜索字符串被视为正则表达式,默认值为off) -e --separator 指定和输出说明符(默认值为:) -j --java-render 打开页面对象和文本的JavaScript呈现(默认为关闭) -p --linked-js-on 打开链接(脚本src标记)Java脚本的搜索功能(默认为关闭) Request Parameters -ps --https-proxy 以“https://:”格式指定HTTPS协议的代理 -pp --http-proxy 以“https://:”格式指定HTTP协议的代理 -hu --user-agent 指定在请求中用作用户代理的字符串 -ha --auth-header 指定要在请求Header中使用的承载令牌或其他身份验证字符串 Search Parameters -s --all 在所有页面HTML和脚本中搜索匹配的术语 -sr --relative 搜索匹配相对URL页面链接 -sa --absolute 搜索匹配绝对URL页面链接 -si --input-fields 在页面中搜索匹配的输入字段 -ss --scripts 搜索与搜索规范匹配的脚本标记 -st --text 搜索页面上与搜索规范匹配的可见文本 -sc --comments 搜索页面上与搜索规范匹配的注释 -sm --meta 在页面元数据中搜索与搜索规范的匹配项 -sf --hidden 在隐藏字段中搜索与搜索规范的特定匹配项 -sh --header-name 搜索响应Header以查找与搜索规范的特定匹配项 -sv --header-value 搜索响应Header值以查找与搜索规范的特定匹配项
工具使用样例
递归查找站点上名为login的所有输入字段,匹配不区分大小写:
wwwgrep.py -t https://www.target.com -i -si “login” -rr
在网站的所有页面上查找包含“待办事项(to do)”一词的所有注释:
wwwgrep.py -t https://www.target.com -i -sc “to do” -rr
查找特定网页上的所有注释:
wwwgrep.py -t https://www.target.com/some_page -i -sc “”
使用站点递归方式查找input.txt文件中包含的web应用程序列表中的所有隐藏字段:
wwwgrep.py -f input.txt -sf “” -rr
用WWWGrep来检查你的网站元素安全相关推荐
- SharePoint 网站元素介绍
本文包括: 1:Office SharePoint Server 站点元素 2:创作的网站元素 3:开发的网站元素<?XML:NAMESPACE PREFIX = O /> 1.Offic ...
- java 数组相等_java – 检查数组中所有元素是否相等的最快方法
该算法是O(n),这是检查列表中所有元素的最快方法,因为您只需要检查每个元素一次. 现在只是因为这是查找所有元素是否等于某个值的最快算法,并不意味着您已将其优化到最大潜力. 这为多线程/多处理器实现留 ...
- 百度云服务器网络检查,百度推出网站安全监测平台,为服务器提供安全漏洞扫描...
原标题:百度推出网站安全监测平台,为服务器提供安全漏洞扫描 我无意间发现一个检查网站案例的工具:百度云扫描平台.可以为同学们提供网站的安全检查,下面将介绍如何利用这个安全平台为网站提供安全检测. 网站 ...
- 收藏 || 11个超好用的在线检查语法的网站!!!
超好用的11个在线检查英语语法的网站分享给大家,希望在日常生活学习工作中帮助到大家.经常用英文的小伙伴,还不赶快收藏,自己觉得好用也要记得分享给朋友哟! 1.lang-8:http://lang-8. ...
- 网站后端开发遇到的问题PHP,谁能帮我检查一下PHP网站后台开发这个问题是什么原因啊?...
//分页封装功能 require_once '../include.php'; //连接数据库 $sql="select * from imooc_admin"; $totalR ...
- 网站被降权后该进行检查哪些问题?
网站在优化的过程中,难免会因为一些因素而导致网站被降权,但对于优化人员来说,最不愿看到的就是网站被降权,这里所说的降权就是指多个关键词排名下降,甚至在100名之外,收录大幅度减少.但网站如果真被降权了 ...
- python 唯一元素_检查所有元素在Python中是否唯一
python 唯一元素 Here, we are implementing a python program to check whether all elements of a list are u ...
- jQuery hasAttr检查元素是否有属性[重复]
本文翻译自:jQuery hasAttr checking to see if there is an attribute on an element [duplicate] Possible Dup ...
- jquery中用.is和.hasClass检查元素类名
在jQuery中,我们可以使用两种方法来检查一个元素是否具有某些类名,这两种方法都具有相同的功能. .hasClass("className"):有关.hasClass()方法可以 ...
最新文章
- 利用栈求表达式的值_高一数学月考考点之函数的表达式详解
- nginx 反向代理 apache 服务
- mac 安装 RabbitMQ
- 诗与远方:无题(三十九)
- 用imspost制作catia后处理_苏州3d打印:手板制作的三种工艺制作常识以及优势对比...
- apache常用的配置指令:PidFile
- 30 个惊艳的 Bootstrap 扩展插件
- 多线程 Threading Multiprocessing(Python)
- 弹出对话框的同时保持页面的显示
- org_chart.js 使用方法
- python爬虫:用scrapy框架爬取链家网房价信息并存入mongodb
- 轻松处理PHP开发中微信emoji表情mysql存储的问题
- win10系统版本更新旧版本文件清理:如何安全删除win10中的Windows.old文件夹
- php 数字转换为字符串,PHP-将数字转换为Excel的字符串
- python mysql插入数据报错:TypeError: %d format: a number is required, not str
- GNSS说第(七)讲---自适应动态导航定位(六)---导航解算中的误差探测、诊断与修复
- 锁定计算机 背景图片,win7系统电脑更换锁屏壁纸的方法
- 宏的本质以及宏(包括函数式宏) 没有返回值概念
- ios13全选手势_iOS13操作新手势:使用iPhone编辑文本更方便
- Hive Sql 分析实例: 淘宝消费者行为分析