===================================
0x01 工具介绍
HTTPLoot是一款功能强大的Web安全测试工具,该工具是一个自动化工具,可以帮助广大研究人员同时抓取和填写表单,并尝试触发目标站点的错误/调试页面,然后从面向客户端的站点代码中挖掘有价值的敏感信息。
0x02 安装与使用
1、并发扫描
-concurrency:指定并发扫描的最大站点数量;
-parallelism:指定每个站点同时爬取的链接数量;
上述这两个参数对工具结果的性能和可靠性至关重要。
2、资源爬取
爬取深度使用-depth参数指定,我们可以设置一个整数值来控制爬取深度。
-wildcard-crawl参数可以指定是否需要爬取目标域名之外的URL。
3、表单填写
如果你想要工具扫描调试页面,则需要使用-submit-forms参数。该参数将控制工具直接自动提交表单并尝试触发错误/调试页面。
如果启用的-submit-forms参数,我们还可以控制提交到表单字段中的字符串。-form-string参数用于指定提交的字符串值,-form-length参数控制随机生成的字符串长度。
4、网络优化
-timeout:指定请求的HTTP超时;
-user-agent:指定HTTP请求中的user-agent;
-verify-ssl:指定是否需要验证SSL证书;
5、输入/输出
我们可以使用-input-file参数指定要读取的输入文件,我们可以指定一个包含了目标URL列表的文件路径。-output-file参数用于指定输出结果存储的文件路径,默认情况下,该路径默认为httploot-results.csv。
0x03 项目链接下载
原文始发于微信公众号(网络安全者):Web安全测试工具 -- HTTPLoot
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论