如何使用WebSecProbe对Web应用程序执行复杂的网络安全评估

关于WebSecProbe

WebSecProbe是一款功能强大的Web应用程序网络安全评估工具,该工具专为网络安全爱好者、渗透测试人员和系统管理员设计,可以执行精确而深入的复杂网络安全评估。

该工具简化了审查网络服务器和应用程序的复杂过程,允许广大研究人员能够深入研究网络安全的技术细微差别,并有效地加强数字资产的安全。

工具特性

WebSecProbe可以使用多种Payload对一个目标URL执行一系列HTTP请求,并测试其中潜在的安全漏洞和错误配置。该工具的运行流程如下:

1、获取用户输入的目标URL地址和路径;

2、定义一个Payload列表,包含不同的HTTP请求形式,例如URL编码字符、特殊Header和不同的HTTP方法等;

3、迭代每一个Payload,通过将Payload添加到目标URL地址中来构建完整的URL;

4、针对每一个构造出来的URL,它会使用requests库发送一个HTTP GET请求,并捕捉响应状态码和内容长度;

5、将每一个请求构造出来的URL、状态码和内容长度打印输出,并显示目标Web服务器针对每一个请求所返回的结果;

6、测试完所有的Payload之后,工具会查询Wayback Machine以获取目标URL/ 路径的快照。如果获取到了,则会打印最新的快照信息;

操作系统兼容性

Windows

Lilnux

Android

macOS

工具要求

Python 3

Git

支持的Payload

1、空字符串;

2、URL编码(%2e);

3、包含/的路径;

4、包含//的路径;

5、包含./的路径;

6、请求Header(-H X-Original-URL);

7、请求Header(-H X-Custom-IP-Authorization);

8、请求Header(-H X-Forwarded-For);

9、请求Header(-H X-rewrite-url);

10、URL编码(%20和%09);

11、查询参数(?);

12、包含.html后缀的路径;

13、包含通配符(*)的路径;

14、包含.php后缀的路径;

15、包含.json后缀的路径;

16、HTTP方法(-X TRACE);

17、路径遍历(..;/);

18、十六进制编码路径;

19、URL编码Null字节路径;

20、Unicode编码路径;

21、...

工具下载

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

复制代码
git clone https://github.com/spyboy-productions/WebSecProbe.git

然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:

复制代码
cd WebSecProbe

pip3 install -r requirements.txt

然后执行工具安装脚本即可:

复制代码
python3 setup.py

除此之外,我们还可以直接使用PYPI来安装WebSecProbe:

复制代码
pip install WebSecProbe

工具运行

命令行接口运行

复制代码
WebSecProbe <URL> <Path>

工具运行样例

复制代码
WebSecProbe https://example.com admin-login

Python源码使用

复制代码
from WebSecProbe.main import WebSecProbe

 

if __name__ == "__main__":

    url = 'https://example.com'  # Replace with your target URL

    path = 'admin-login'  # Replace with your desired path

 

    probe = WebSecProbe(url, path)

    probe.run()

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

WebSecProbe :【GitHub传送门

参考资料

WebSecProbe · PyPI

相关推荐
kyriewen10 小时前
Anthropic 估值逼近万亿美元,Claude Sonnet 5 + Claude Science 一天两连发
前端·ai编程·claude
小徐_233311 小时前
Wot UI 2.2.0 发布:Button 新增 subtle,VideoPreview 预览体验继续增强
前端·微信小程序·uni-app
天蓝色的鱼鱼13 小时前
关于 CSS 你可能不知道的属性,但关键时刻很有用
前端·css
泯泷14 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
妙码生花14 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
泯泷14 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
团团崽_七分甜14 小时前
Spring Boot 核心知识点总结
前端
lichenyang45314 小时前
从一个按钮开始,理解 ASCF 框架到底在做什么
前端
古夕15 小时前
第三方 SSO 接入实践:redirect_uri 编码、回调一致性与跨项目联调
前端·vue.js