声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
前言
使用DebugHunter(具体地址见文末参考)发现隐藏的调试参数并揭示web应用程序的秘密。这个Chrome插件程序扫描网站的调试参数,当它发现一个URL的响应被修改时,会提醒到你。该插件利用二进制搜索算法,有效地确定负责响应中变化的参数。
特性
-
对预定义的查询参数列表执行二进制搜索。 -
比较带有和不带有查询参数的响应,以确定更改。 -
在浏览器操作徽章中跟踪并显示修改的url的数量。 -
允许用户查看和清除修改后的url列表。
安装
方式1:克隆仓库
-
下载或将此仓库克隆到本地计算机。 -
打开谷歌Chrome,转到 Chrome://extensions/
-
如果尚未启用,请在右上角启用“开发者模式”。 -
点击左上角的“Load unpacked”按钮。 -
导航到下载或克隆仓库的目录,并选择该文件夹。 -
debugHunter插件现在应该已经安装并准备使用了。
方式2:下载发行版(.zip
)
-
从此存储库的“Releases”部分下载最新的版本 .zip
文件。 -
将 .zip
文件的内容解压缩到本地机器上的一个文件夹中。 -
打开谷歌Chrome,转到 Chrome://extensions/
。 -
如果尚未启用,请在右上角启用“开发者模式”。 -
点击左上角的“Load unpacked”按钮。 -
导航到解压.zip文件的目录,并选择该文件夹。 -
debugHunter插件现在应该已经安装并准备使用了
使用方法
建议将该插件钉在工具栏上,以检查是否发现一个新的通过调试参数修改的URL。
-
导航到任何网站。 -
单击 Chrome 工具栏中的 debugHunter 插件图标。 -
如果该插件检测到任何因调试参数而修改响应的URL,它们将被列在弹出窗口中。 -
点击列表中的任何URL,在新标签页中打开它。 -
要清除该列表,请点击弹出窗口右上角的垃圾桶图标。
其实这个工具就是一个chrome的插件,后面有机会我会带领大家去学习如何阅读chrome插件的源代码。
福利视频
笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品
https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374
参考
https://github.com/devploit/debugHunter
原文始发于微信公众号(迪哥讲事):发现隐藏的调试参数并揭开 Web 应用程序的武器- debugHunter
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论