如何使用ChopChop扫描终端并识别暴露的敏感内容

admin 2022年1月5日10:30:50安全文章 安全工具评论14 views1673字阅读5分34秒阅读模式

如何使用ChopChop扫描终端并识别暴露的敏感内容

 关于ChopChop 

ChopChop是一款功能强大的命令行工具,可以帮助广大研究人员针对Web应用程序进行动态应用程序测试。该工具的主要目的是扫描终端节点,并识别暴露的敏感服务、文件和目录。开发人员还可以在配置文件中声明检测项和签名,所有内容均支持配置,配置文件为chopchop.yml。

 工具下载 

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/michelin/ChopChop

 项目构建 

我们可以通过下列命令轻松构建项目代码:

$ go mod download
$ go build .
运行上述命令后,项目目录内将出现构建生成的gochopchop代码。

Docker使用

多亏了Github Container Registry,我们可以直接给大家提供最新版本的Docker镜像:

docker run ghcr.io/michelin/gochopchop scan https://foobar.com -v debug
如果你愿意的话,你也可以在本地进行镜像构建:
docker build -t gochopchop .

 工具使用 

我们希望ChopChop的使用是尽可能简单的,所以我们可以直接使用下列命令将该ChopChop当作一款实用工具来直接对目标主机进行扫描:

$ ./gochopchop scan https://foobar.com

使用Docker

docker run gochopchop scan https://foobar.com

自定义配置文件

docker run -v ./:/app chopchop scan -c /app/chopchop.yml https://foobar.com
 可选参数 

当前版本的ChopChop支持使用下列参数选项来配合scan命令执行扫描:

如何使用ChopChop扫描终端并识别暴露的敏感内容

 高级使用 

扫描和禁用SSL验证

$ ./gochopchop scan https://foobar.com --insecure

使用自定义配置文件扫描

$ ./gochopchop scan https://foobar.com --insecure --signature test_config.yml

按严重程度枚举所有插件

$ ./gochopchop plugins --severity High

执行扫描指定并发线程数量

$ ./gochopchop plugins --threads 4

指定需要检测的签名

./gochopchop scan https://foobar.com --timeout 1 --verbosity --export=csv,json --export-filename boo --plugin-filters=Git,Zimbra,Jenkins

枚举所有插件

$ ./gochopchop plugins

枚举高严重性插件

$ ./gochopchop plugins --severity High

在文件中设置URL列表

$ ./gochopchop scan --url-file url_file.txt

将ChopChop扫描结果导出为CSV和JSON格式

$ ./gochopchop scan https://foobar.com  --export=csv,json --export-filename results

 外部代码库 

如何使用ChopChop扫描终端并识别暴露的敏感内容

 工具使用演示 

如何使用ChopChop扫描终端并识别暴露的敏感内容

项目地址

本项目的开发与发布遵循Apache v2.0开源许可证协议。

项目地址

https://github.com/michelin/ChopChop

参考资料

https://docs.google.com/presentation/d/1uVXGUpt7tC7zQ1HWegoBbEg2LHamABIqfDfiD9MWsD8/edit

https://drive.google.com/file/d/15P8eSarIohwCVW-tR3FN78KJPGbpAtR1/view

如何使用ChopChop扫描终端并识别暴露的敏感内容



精彩推荐






如何使用ChopChop扫描终端并识别暴露的敏感内容

如何使用ChopChop扫描终端并识别暴露的敏感内容
如何使用ChopChop扫描终端并识别暴露的敏感内容
如何使用ChopChop扫描终端并识别暴露的敏感内容
如何使用ChopChop扫描终端并识别暴露的敏感内容

原文始发于微信公众号(FreeBuf):如何使用ChopChop扫描终端并识别暴露的敏感内容

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月5日10:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  如何使用ChopChop扫描终端并识别暴露的敏感内容 http://cn-sec.com/archives/719152.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: