日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

關(guān)于WWWGrep

WWWGrep是一款針對HTML安全的工具，該工具基于快速搜索“grepping”機(jī)制實(shí)現(xiàn)其功能，并且可以按照類型檢查HTML元素，并允許執(zhí)行單個、多個或遞歸搜索。Header名稱和值同樣也可以通過這種方式實(shí)現(xiàn)遞歸搜索。

成都創(chuàng)新互聯(lián)公司，為您提供重慶網(wǎng)站建設(shè)公司、網(wǎng)站制作、網(wǎng)站營銷推廣、網(wǎng)站開發(fā)設(shè)計，對服務(wù)高空作業(yè)車租賃等多個行業(yè)擁有豐富的網(wǎng)站建設(shè)及推廣經(jīng)驗(yàn)。成都創(chuàng)新互聯(lián)公司網(wǎng)站建設(shè)公司成立于2013年,提供專業(yè)網(wǎng)站制作報價服務(wù),我們深知市場的競爭激烈，認(rèn)真對待每位客戶，為客戶提供賞心悅目的作品。 與客戶共同發(fā)展進(jìn)步，是我們永遠(yuǎn)的責(zé)任！

功能介紹

• 使用遞歸選項(xiàng)在目標(biāo)站點(diǎn)上搜索名為“username”或“password”的輸入字段，快速定位登錄頁面。
• 快速檢查Header以了解特定技術(shù)的使用情況。
• 通過搜索響應(yīng)Header快速定位Cookie和JWT令牌。
• 與代理工具一起使用可通過一組鏈接快速自動執(zhí)行遞歸。
• 通過搜索輸入字段和參數(shù)處理符號，找到頁面(或站點(diǎn))上的所有輸入接收器。
• 在頁面上找到所有開發(fā)人員注釋，以識別注釋掉的代碼(或待辦事項(xiàng))。
• 快速查找網(wǎng)頁中存在的易受攻擊的JavaScript代碼。
• 識別頁面代碼中存在的API令牌和訪問密鑰。
• 快速測試管理下的多個站點(diǎn)是否使用了易受攻擊的代碼。
• 快速測試管理下的多個站點(diǎn)是否使用了易受攻擊的框架/技術(shù)。
• 查找可能共享公共代碼庫的站點(diǎn)，以確定缺陷/漏洞的影響。
• 查找共享公共身份驗(yàn)證令牌(Header身份驗(yàn)證令牌)的站點(diǎn)。
• 其它功能...

工具安裝

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地，并安裝好相關(guān)的依賴組件：

 
 
  
  
git clone https://github.com/OWASP/wwwgrep.git 
  
  
pip3 install -r requirements.txt 
  
  
python3 wwwgrep.py  
 

依賴組件(pip3 install -r requirements.txt)

 
 
  
  
- Python 3.5+ 
  
  
- BeautifulSoup 4 
  
  
- UrlLib.parse 
  
  
- requests_html 
  
  
- argparse 
  
  
- requests 
  
  
- re 
  
  
- os.path 
 

命令行選項(xiàng)

 
 
  
  
wwwgrep.py [target/file] [search_string] [search params/criteria/recursion etc] 
  
  
Search Inputs 
  
  
search_string 指定要搜索的字符串，或者為搜索參數(shù)中指定類型的所有對象指定“” 
  
  
-t --target 指定單個URL作為搜索的目標(biāo) 
  
  
-f --file 指定包含要搜索的URL列表的文件 
  
  
Recursion 
  
  
-rr --recurse-root 將URL遞歸限制到目標(biāo)中提供的域 
  
  
-ra --recurse-any 允許遞歸擴(kuò)展到目標(biāo)域之外 
  
  
Matching Criteria 
  
  
-i --ignore-case   執(zhí)行不區(qū)分大小寫的匹配（默認(rèn)為按大小寫） 
  
  
-d --dedupe       允許每頁有重復(fù)的結(jié)果（默認(rèn)為消除重復(fù)的結(jié)果） 
  
  
-r --no-redirects   不允許重定向（默認(rèn)為允許重定向） 
  
  
-b --no-base-url   從輸出中省略匹配的URL（默認(rèn)情況下包括URL） 
  
  
-x --regex        允許使用正則表達(dá)式匹配項(xiàng)（搜索字符串被視為正則表達(dá)式，默認(rèn)值為off） 
  
  
-e --separator  指定和輸出說明符（默認(rèn)值為：） 
  
  
-j --java-render   打開頁面對象和文本的JavaScript呈現(xiàn)（默認(rèn)為關(guān)閉） 
  
  
-p --linked-js-on  打開鏈接（腳本src標(biāo)記）Java腳本的搜索功能（默認(rèn)為關(guān)閉） 
  
  
Request Parameters  
  
  
-ps --https-proxy 以“https://:”格式指定HTTPS協(xié)議的代理 
  
  
-pp --http-proxy 以“https://:”格式指定HTTP協(xié)議的代理 
  
  
-hu --user-agent 指定在請求中用作用戶代理的字符串 
  
  
-ha --auth-header 指定要在請求Header中使用的承載令牌或其他身份驗(yàn)證字符串 
  
  
Search Parameters 
  
  
-s --all       在所有頁面HTML和腳本中搜索匹配的術(shù)語 
  
  
-sr --relative       搜索匹配相對URL頁面鏈接 
  
  
-sa --absolute   搜索匹配絕對URL頁面鏈接 
  
  
-si --input-fields   在頁面中搜索匹配的輸入字段 
  
  
-ss --scripts       搜索與搜索規(guī)范匹配的腳本標(biāo)記 
  
  
-st --text          搜索頁面上與搜索規(guī)范匹配的可見文本 
  
  
-sc --comments     搜索頁面上與搜索規(guī)范匹配的注釋 
  
  
-sm --meta          在頁面元數(shù)據(jù)中搜索與搜索規(guī)范的匹配項(xiàng) 
  
  
-sf --hidden        在隱藏字段中搜索與搜索規(guī)范的特定匹配項(xiàng) 
  
  
-sh --header-name   搜索響應(yīng)Header以查找與搜索規(guī)范的特定匹配項(xiàng) 
  
  
-sv --header-value   搜索響應(yīng)Header值以查找與搜索規(guī)范的特定匹配項(xiàng) 
 

工具使用樣例

遞歸查找站點(diǎn)上名為login的所有輸入字段，匹配不區(qū)分大小寫：

 
 
  
  
wwwgrep.py -t https://www.target.com -i -si “l(fā)ogin” -rr 
 

在網(wǎng)站的所有頁面上查找包含“待辦事項(xiàng)(to do)”一詞的所有注釋：

 
 
  
  
wwwgrep.py -t https://www.target.com -i -sc “to do” -rr 
 

查找特定網(wǎng)頁上的所有注釋：

 
 
  
  
wwwgrep.py -t https://www.target.com/some_page -i -sc “” 
 

使用站點(diǎn)遞歸方式查找input.txt文件中包含的web應(yīng)用程序列表中的所有隱藏字段：

 
 
  
  
wwwgrep.py -f input.txt -sf “” -rr 
 

項(xiàng)目地址

WWWGrep：【GitHub傳送門】

分享名稱：如何使用WWWGrep檢查你的網(wǎng)站元素安全
當(dāng)前網(wǎng)址：http://m.5511xx.com/article/djchopg.html