一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具
随着WEB前端打包工具的流行,您在日常渗透测试、安全服务中是否遇到越来越多以Webpack打包器
为代表的网站?这类打包器会将整站的API和API参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。
本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。
https://github.com/rtcatc/Packer-Fuzzer.git
https://github.com/rtcatc/Packer-Fuzzer.git
用git给它下载下来,或者到github上面下载压缩包
然后切到工具目录
pip install -r requirements.txt
然后就可以使用了
-t adv 高级版
-l zh 中文,闹高饿
-u http://www.baidu.com 指定url
-b xxxapi 指定http://www.baidu.com/xxxapi/ 中的xxxapi
--ah http://apiwww.baidu.com 指定api的域名
-r html 指定生成报告的格式
--fe .json 指定后缀。例如http://apiwww.baidu.com/xxx.json
原文始发于微信公众号(虚拟尽头):渗透工具推荐系列 packer-Fuzzer
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论