自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Second Order:一款功能強(qiáng)大的子域名接管漏洞安全掃描工具

作者:Alpha_h4ck
安全
漏洞安全掃描工具Second Order基于Go語言開發(fā),因此廣大研究人員在使用該工具之前還需要安裝并配置好Go語言環(huán)境,我們建議使用Go v1.17版本

關(guān)于Second Order

Second Order是一款功能強(qiáng)大的子域名接管漏洞安全掃描工具,該工具可以通過網(wǎng)絡(luò)爬蟲爬取App,并收集匹配特定規(guī)則或以特定形式響應(yīng)數(shù)據(jù)的URL地址以及其他數(shù)據(jù),以期幫助廣大研究人員掃描Web應(yīng)用程序并發(fā)現(xiàn)其中潛在的二級(jí)子域名接管問題。

工具安裝

(1) 直接使用

廣大研究人員可以直接從該項(xiàng)目的【??Releases頁面??】下載預(yù)構(gòu)建好的工具代碼,然后解壓之后便可直接使用。

(2) 源碼安裝

該工具基于Go語言開發(fā),因此廣大研究人員在使用該工具之前還需要安裝并配置好Go語言環(huán)境,我們建議使用Go v1.17版本。安裝命令如下:

go install -v github.com/mhmdiaa/second-order@latest

(3) Docker安裝

docker pull mhmdiaa/second-order

工具使用

(1) 命令行選項(xiàng)

-target string

        設(shè)置目標(biāo)URL地址

  -config string

        配置文件 (默認(rèn)為"config.json")

  -depth int

        爬取深度 (默認(rèn)為1)

  -header value

     Header名稱和值,中間用分號(hào)隔開,例如'Name: Value'

  -insecure

        接受不受信任的SSL /TLS證書

  -output string

        存儲(chǔ)輸出結(jié)果的目錄 (默認(rèn)為"output")

  -threads int

        運(yùn)行線程數(shù)量 (默認(rèn)為10)

(2) 配置文件

該工具已在項(xiàng)目的config目錄中提供了參考的配置文件樣例:

  • LogQueries:該文件設(shè)置的是工具在爬取頁面中需搜索的“標(biāo)簽”-“屬性”的映射。比如說,“a”:“href”代表的是工具將記錄每個(gè)a標(biāo)簽的每個(gè)href屬性。
  • LogNon200Queries:該文件設(shè)置的是工具在爬取頁面中需搜索的“標(biāo)簽”-“屬性”的映射,并只會(huì)記錄沒有返回“200”狀態(tài)碼的有效URL地址。
  • LogInline:需要記錄內(nèi)部內(nèi)容的標(biāo)簽立標(biāo),比如說“title”和“script”等等。

數(shù)據(jù)輸出

該工具所有的掃描結(jié)果都將存儲(chǔ)在JSON文件中,我們可以指定需要存儲(chǔ)的具體數(shù)據(jù)以及位置。

LogQueries的輸出結(jié)果存儲(chǔ)在attributes.json中:

{

    "https://example.com/": {

        "input[name]": [

            "user",

            "id",

            "debug"

        ]

    }

}

LogNon200Queries的輸出結(jié)果存儲(chǔ)在non-200-url-attributes.json中:

{

    "https://example.com/": {

        "script[src]": [

            "https://cdn.old_abandoned_domain.com/app.js",

        ]

    }

}

LogInline的輸出結(jié)果存儲(chǔ)在inline.json中:

{

    "https://example.com/": {

        "title": [

            "Example - Home"

        ]

    },

      "https://example.com/login": {

        "title": [

            "Example - login"

        ]

    }

}

工具使用建議

  • 檢測二級(jí)子域名接管:takeover.json;
  • 收集標(biāo)簽內(nèi)容以及導(dǎo)入的JS代碼:javascript.json;
  • 查找目標(biāo)主機(jī)托管的靜態(tài)文件:cdn.json;
  • 收集的name屬性并構(gòu)建定制的暴力破解字典參數(shù):parameters.json;

項(xiàng)目地址

Second Order:【??GitHub傳送門??】

責(zé)任編輯:趙寧寧 來源: FreeBuf.COM
漏洞安全掃描工具
相關(guān)推薦

2020-10-05 21:26:32

工具代碼開發(fā)

2021-12-28 15:33:36

安全工具Stacs憑證掃描

2021-07-09 10:14:05

IP工具命令

2021-10-19 06:37:21

安全工具Qlog安全日志工具

2021-09-14 15:01:31

Pstf安全工具指紋框架

2020-12-15 07:54:40

工具Hutoolgithub

2020-12-15 15:08:17

工具Java線程

2021-07-30 16:22:52

攝像頭漏洞CamOver

2019-01-31 11:01:57

2021-10-10 12:17:06

Weakpass在線字典生成器安全工具

2021-11-01 05:53:08

Doldrums逆向工程分析工具安全工具

2022-01-13 09:27:26

SMBeagle安全審計(jì)工具安全工具

2023-10-10 07:08:42

2023-10-08 07:51:07

HInvoke項(xiàng)目函數(shù)

2023-09-14 08:39:45

2022-02-10 08:18:11

WiFi安全測試工具Wi-Fi Fram

2021-11-17 10:16:39

Kodex隱私安全工程工具包

2019-08-02 09:46:00

工具性能數(shù)據(jù)

2021-12-02 18:14:37

PortBender定向工具安全工具

2023-09-08 10:28:23

客戶端腳本數(shù)據(jù)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)