ParamSpider url参数挖掘机

45920-dxkat4sadyu.png

主要特征 :

  • 从输入域的Web存档中查找参数。
  • 提供支持以排除具有特定扩展名的网址。
  • 以一种干净的方式保存输出结果。
  • 它从Web存档中挖掘参数(无需与目标主机进行交互)

使用说明:
Note : Use python 3.7
$ git clone

https://github.com/devanshbatham/ParamSpider
$ cd ParamSpider
$ pip3 install -r requirements.txt

$ python3 paramspider.py --domain hackerone.com

用法选项:
1 - For a simple scan [without the --exclude parameter]
$ python3 paramspider.py --domain hackerone.com
-> Output ex :

https://hackerone.com/test.php?q=FUZZ
2 - For excluding urls with specific extensions
$ python3 paramspider.py --domain hackerone.com --exclude php,jpg,svg
3 - For finding nested parameters
$ python3 paramspider.py --domain hackerone.com --level high
-> Output ex:

https://hackerone.com/test.php?p=test&q=FUZZ
4 - Saving the results
$ python3 paramspider.py --domain hackerone.com --exclude php,jpg --output hackerone.txt
范例:

$ python3 paramspider.py --domain bugcrowd.com --exclude woff,css,js,png,svg,php,jpg --output bugcrowd.txt
本文经授权后发布,本文观点不代表立场,转载请联系原作者。
指纹锁的硬件逆向工程
« 上一篇 05-04
Facebook 开出历史最高赏金,55,000 美元奖励十年漏洞发现者
下一篇 » 05-05

相关推荐

推荐CS4.1真的有后门吗?

文章来源:酒仙桥六号部队前言CS是什么?可能是某款历史久远的第一人称射击游戏,也可能是某个电影。由于法律原因我们这里并不指出CS是什么,但网络江湖上一直流...

热文记一次漏洞挖掘实战之木桶短板

客户给了个站 授权渗透客户要求:纯黑盒 无测试账号就一个登录框 忘记密码功能还是这样人直接傻了 先看看能不能爆破吧发现密码加密了好家伙 还是动态密钥验...