Packer-Fuzzer一款好用的前端高效安全扫描工具

news2024/11/13 17:53:16

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

1、Packer Fuzzer介绍

Packer Fuzzer是一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。为什么会出现这个工具是由于WEB前端打包工具的流行,判断网站是否用Webpack打包,在Chrome浏览器可用插件Wappalyzer的杂项查看。

在这里插入图片描述

Packer Fuzzer支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。

项目地址:https://github.com/rtcatc/Packer-Fuzzer

2、环境准备

Packer Fuzzer工具是使用Python3语言开发,因此运行使用要确保环境安装有Python3.x和pip3。以Kali系统为例

如果没有kali系统虚拟机,可关注公众号:大象只为你,后台回复:【虚拟机】获取。

# 切换账号为root管理员权限
sudo su
# 查看Python3版本号命令
python3 --version
# 确认是否安装pip3,可用查看pip3版本号
pip3 --version

如果没安装python3和pip3,可用以下命令进行安装

# 更新资源
apt-get update
# 安装python3命令
apt-get install python3
# 安装pip3命令
apt-get install python3-pip

Packer Fuzzer工具会通过node_vm2运行原生NodeJS代码,官方推荐安装NodeJS环境(不推荐其他JS运行环境,可能会导致解析失败)。安装命令如下

apt-get install nodejs && apt-get install npm
3、安装说明

github上有打包好的V1.4源码包,由于requirements.txt没有指定版本号,在python3.11版本时,即使所需要资源导入成功了,在使用时也会报异常

在这里插入图片描述

通过问ChatGPT,再看github上的更新记录,发现requirements.txt有最新更新记录,指定了python-docx==0.8.11,所以使用主版本的源码进行编译可正常使用。

在这里插入图片描述

安装命令如下:

# 切换到自己要放置的目录下,比如tools
cd tools
# 下载源码
git clone https://github.com/rtcatc/Packer-Fuzzer.git
# 切换到源码目录
cd Packer-Fuzzer

在使用pip3导入资源包,发现又出现错误了,

在这里插入图片描述

按提示创建虚拟环境,相关命令如下:

# 安装python3-venv包,如果还没安装的话
apt install python3-venv
# 创建一个新的虚拟环境
python3 -m venv myenv
# 激活虚拟环境
source myenv/bin/activate
#-------分割线----------
# 退出虚拟环境
deactivate

说明:虚拟环境,当前窗口关闭后就失效,下次需要使用时,注意切换目录到myenv所在目录去激活

激活虚拟环境后,一键安装需要的资源

pip3 install -r requirements.txt
4、使用说明
4.1、参数介绍

使用python3 PackerFuzzer.py [options]命令来运行Packer Fuzzer工具,常用参数如下:

-h(–help) # 帮助命令,无需附加参数,查看工具支持的全部参数及其对应简介;

-u(–url) # 要扫描的网站网址路径,为必填选项,例如:-u https://demo.poc-sir.com

-c(–cookie)# 附加cookies内容,可为空,若填写则将全局传入,例如:-c "POC=666;SIR=233"

-d(–head) # 附加HTTP头部内容,可为空,若填写则将全局传入,默认为Cache-Control:no-cache,例如:-d "Token:3VHJ32HF0"

-t(–type) # 分为基础版和高级版,默认基础版本,高级版 -t adv

更多详细参数请查看github的参数介绍。

4.2、示例扫描说明

以某个网址做扫描验证,前端是vue实现的,扫描命令是 python3 PackerFuzzer.py -u http://xxx.com

在这里插入图片描述

扫描结果做为漏洞挖掘的参考,详细的报告在reports目录下,默认有html和docx两种格式,命名是目标扫描域名再加一串随机数。可直接访问xx.html或复制到自己本机查看报告。

在这里插入图片描述

我更习惯使用html格式,左侧列出报告摘要、漏洞详情、安全建议等,右侧根据菜单点击详情展示,很友好。

在这里插入图片描述

像一些js文件一般是加密的,可以再使用在线工具解密,然后格式化查看内容。这个工具检测出来的漏洞不一定就是百分百正确,在实际使用过程中结合判断。

5、我的公众号

敬请关注我的公众号:大象只为你,持续更新网安相关知识中…

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1869944.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SAP 免费退货销售订单类型配置简介

作为一名 SD顾问,必须具备熟悉系统和系统配置,但是之前都是做的PP顾问,现在用户需要新增了一个销售订单类型,所以自己研究销售订单类型的配置,才有了以下的文章,希望对各位学习的同学有所帮助 1、创建销售…

如何有效降低云消息使用成本?涂鸦Pulsar云消息史诗级大更新来了!超级干货攻略快收藏

月末了,相信大家都会有信用卡额度超支的担忧,生怕一不留神就会超出预算,并且事后还需要仔细核对消费情况。类似的焦虑,也会出现在使用涂鸦 Pulsar 云消息服务时。虽然涂鸦 Pulsar 云消息能满足开发者对设备各类事件实时性和持久化…

STM32单片机实现串口IAP升级

一.概述 1.要实现串口IAP升级,首先要编写一个bootloader程序,然后再写支持IAP的app程序; 2.keil下bootloader的程序rom和ram设置 3.app程序要用bin文件 注:本文以STM32H743举例,其他stm32单片机IAP升级原理类似。 …

AI时代的风口,中小企业也不能错过

文|白 鸽 编|周效敬 这些场景,对你来说或许并不陌生: 在医院的大屏上,一个医生模样的数字人在做医疗知识科普;在抖音的直播间里,一个真人模样的数字人在线上直播带货,24小时无休无…

音频剪辑技巧:音频降噪在线怎么降噪?分享7种录音去除杂音方法

相信很多小伙伴们都有这种苦恼:在编辑音频时,你可能发现即使你使用了价格昂贵的隔音麦克风,在录音中仍然存在呼吸声和咳嗽声。因此,如果要传达清晰干净的声音以表达你的信息,你该如何从录音去除杂音呢?别心…

基于STM32的智能水质监测系统

目录 引言环境准备智能水质监测系统基础代码实现:实现智能水质监测系统 4.1 数据采集模块4.2 数据处理与分析4.3 控制系统实现4.4 用户界面与数据可视化应用场景:水质管理与优化问题解决方案与优化收尾与总结 1. 引言 智能水质监测系统通过使用STM32嵌…

可转债交易的规则,权限开通条件。可转债的佣金最低标准万0.44!

可转债交易规则 【1】可转债最小交易单位为1手,1手10张,每张的价格就是大家看到的价格。这和股票很不一样,股票的1手是100股股票。可转债最小价格变动单位为0.001 【2】可转债是T0交易,即当天买入,当天就可以卖出。这…

[每周尝鲜]用GPTs排名全球Top1的 GitHub 代码仓库分析神器AI Code Analyzer解读每周热门项目

前言: GitHub 代码仓库分析神器AI Code Analyzer自1月12日在GPTs 上线以来,凭借其强大的功能和卓越的用户体验,取得了令人瞩目的成绩。收获了诸多好评,目前在同类插件中全球排行第一,已有1000用户正在使用。并且已入选…

MATLAB2024a下的BP神经网络分类工具箱预测

1 打开BP神经网络分类工具箱GUI界面 图1-1 如图1-1所示,虽然叫神经网络模式识别但确实是BP神经网络分类工具箱,如果想要使用其他神经网络模型,可以打开左边的深度网络网络设计器,如图1-2、图1-3所示: 图1-2 图1-3 2 导…

Linux0.12内核源码解读(5)-head.s

大家好,我是呼噜噜,好久没有更新old linux了,本文接着上一篇文章图解CPU的实模式与保护模式,继续向着操作系统内核的世界前进,一起来看看heads.s as86 与GNU as 首先我们得了解一个事实,在Linux0.12内核源…

怎么优化亚马逊Listing?看这一篇就够了!

运营亚马逊最重要的工作之一就是优化listing,精心优化好亚马逊标题、五点描述、图片和关键词才能提高产品的可见性和吸引力,很多小伙伴对于怎么写出专业的亚马逊listing还是不知道如何下手,今天为大家分享一套实用的亚马逊listing优化指南&am…

软考系统架构师系统工程与信息系统基础考点

软考系统架构师系统工程与信息系统基础考点 系统工程 定义:一种组织管理技术,一种现代的科学决策方法 目的:以最好的方式实现系统 目标:整体最优 意义:利用计算机为工具,对系统的结构、元素、信息和反馈…

2024车载测试还可以冲吗?

2024年已过接近1/4了,你是不是还在围观车载测试行业的发展?同时也在思考着:现在进入车载测试行业还来得及吗?如何高效学习车载测试呢? 我们先来了解一下车载测试行情发展,通过某大平台,我们获取…

使用Ghostscript将PostScript(.ps)文件转换为PDF文件格式

如何使用Ghostscript将PostScript文件转换为PDF文件格式: /* Example of using GS DLL as a ps2pdf converter. */#if defined(_WIN32) && !defined(_Windows) # define _Windows #endif #ifdef _Windows /* add this source to a project with gsdll32.dll, or comp…

学习笔记——动态路由——OSPF(报头信息、报文信息、三张表)

六、OSPF协议的报头信息、报文信息、三张表 OSPF的协议报文在一个广播域内进行传递,是直接封装在IP报文中的,协议号为89。 OSPF本身5种类型:分别是Hello报文、DD报文、LSR报文、LSU报文、LSAck报文,各种不同类型的LSA其实只是包含…

深度解析观测云智能监控的核心设计原理

背景 在监控高度分布式的应用程序时,可能依赖于多个基于云的和本地环境中的数百个服务和基础设施组件,在识别错误、检测高延迟的原因和确定问题的根因都是比较有挑战性的。即使已经具备了强大的监控和警报系统,但是基础设施和应用程序也可能…

求出某空间曲面下的体积

求出某空间曲面下的体积 flyfish 用小长方体的体积和来逼近该体积 import numpy as np import matplotlib.pyplot as plt import matplotlib.animation as animation# 定义函数 f(x, y) def f(x, y):return np.sin(np.pi * x) * np.sin(np.pi * y)# 创建网格 x np.linspac…

HMI 的 UI 风格,精妙无比

HMI 的 UI 风格,精妙无比

使用vue + canvas绘制仪表盘

使用vue canvas绘制仪表盘 效果图&#xff1a; 父容器 <template><div class"panelBoard-page"><h1>panelBoard</h1><Demo1 :rate"rate" /></div> </template> <script setup> import { ref } from …

2024最新总结:1500页金三银四面试宝典 记录35轮大厂面试(都是面试重点)

学习是你这个职业一辈子的事 手里有个 1 2 3&#xff0c;不要想着去怼别人的 4 5 6&#xff0c;因为还有你不知道的 7 8 9。保持空瓶心态从 0 开始才能学到 10 全。 毕竟也是跳槽高峰期&#xff0c;我还是为大家准备了这份1500页金三银四宝典&#xff0c;记录的都是真实大厂面…