PathFinder:一款针对Web应用程序的网络侦查和数据收集框架

007bug2023-12-17 14:50:17

关于PathFinder

PathFinder是一款针对Web应用程序的网络侦查和数据收集框架,该工具可以帮助广大研究人员收集跟目标Web应用程序相关的重要敏感信息。当前版本的PathFinder基于纯Python 3开发,支持收集的信息包括页面标题、最近更新日期、DNS信息、子域名、防火墙信息、开发技术详情和证书凭证信息等等。

功能介绍

1、检索与目标站点相关的重要信息;
2、获取目标站点的技术实现细节;
3、识别目标站点的子域名和DNS信息;
4、检查目标站点的防火墙和证书凭证细节;
5、执行验证码和JavaScript内容绕过操作;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/HalilDeniz/PathFinder.git

然后切换到项目目录中,使用pip3命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:

$ cd PathFinder

$ pip3 install -r requirements.txt

上述命令将会自动安装工具所需的对应版本的其他模块组件。

工具使用

我们可以直接使用下列命令运行该工具,并查看工具帮助信息:

# python3 pathFinder.py --help                                             

usage: pathFinder.py [-h] url

 

Web Information Program

 

positional arguments:

  url         输入目标站点的URL地址

 

options:

  -h, --help  显示工具帮助信息和退出

工具输出样例

下面给出的是该工具运行后的输出样例:

# python3 pathFinder.py https://www.facebook.com/

    Site Information:

    Title:  Facebook - Login or Register

    Last Updated Date:  None

    First Creation Date:  1997-03-29 05:00:00

    Dns Information:  []

    Sub Branches:  ['157']

    Firewall Names:  []

    Technologies Used:  javascript, php, css, html, react

    Certificate Information:

    Certificate Issuer: US

    Certificate Start Date: 2023-02-07 00:00:00

    Certificate Expiration Date: 2023-05-08 23:59:59

    Certificate Validity Period (Days): 90

    Bypassed JavaScript content:  

工具运行截图

工具演示视频

演示视频:https://www.youtube.com/c/HalilDeniz

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

PathFinder:https://github.com/HalilDeniz/PathFinder

web技术框架
本作品采用《CC 协议》,转载必须注明作者和本文链接
研究关基面临的合规性要求、现实风险和问题,开展体系化防护顶层设计具有重要意义。关基安全保护条例主要内容2021年4月,国务院第133次常务会议通过《关键信息基础设施安全保护条例》,自2021年9月1日起施行。第五章“法律责任”处罚条件和处罚内容。关基安全保护条例为关基体系化防护顶层设计奠定了坚实基础。以下从十个方面来说明大型企业进行关基防护体系化设计的思路与方法。
—2020 信息技术 安全技术 密钥管理 第1部分:框架 —2021 信息技术 安全技术 密钥管理 第3部分:采用非对称技术的机制 17964—2008 信息安全技术 分组密码算法的工作模式 —2000 信息技术 安全技术 散列函数 第1...
通过绑定机制,可以将 Go 代码作为返回 Promise 的功能公开给前端。这是通过共享的 IPC 机制来实现的。它们都提供了一个简单的接口,从而减轻了开发人员直接处理 IPC 机制的负担。在启动时,Wails 将分析绑定的函数/方法并自动在 Javascript 中提供等效函数。
撞库是业务系统面临的一类非漏洞的攻击行为,数据库防火墙要能及时预警、阻断撞库行为,解决业务层面的极大风险威胁。☆ 敏感SQL语句管理:即SQL所带有敏感信息,对这些SQL需要单独管理,只授权给可以访问的身份,拒绝未经授权的身份进行访问。
WhatWeb可识别Web技术,包括指纹识别、内容管理系统(CMS)、博客平台、统计/分析包、JavaScript库、Web服务器和嵌入式设备。WhatWeb有超过1800个插件,每个插件都能识别不同的东西。WhatWeb还标识版本号,电子邮件地址,帐户ID,Web框架模块,SQL错误等。
Web 应用通常用于对外提供服务,由于具有开放性的特点,逐渐成为网络攻击的重要对象,而漏洞利用是实现 Web 攻击的主要技术途径。越权漏洞作为一种常见的高危安全漏洞,被开 放 Web 应 用 安 全 项 目(Open Web Application Security Project,OWASP) 列 入 10 个 最 关 键Web 应用程序安全漏洞列表。结合近几年披露的与越权相关的 Web 应用通
如何有效地防护来自网络中的攻击行为已成为当前亟需解决的问题。这套网络通信的传输控制和协议套件被称为“TCP/IP”,是当今互联网通信的基础。Check Point基于高级威胁防护与分析解决方案,开发标准的统一架构,可实时共享威胁情报,预防对虚拟实例、云部署、终端、远程办公室和移动设备的攻击。相关报告显示,2018年由机器人和僵尸网络产生的恶意流量分别占据所有网络流量的37.9%和53.8%。
外媒 1 月 24 日报道,流行软件构建框架 Electron 中存在一个严重的远程代码执行( RCE )漏洞(CVE-2018-1000006),可能会影响大量热门桌面应用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron 表示目前只有 Windows 的应用程序会受到漏洞影响。
当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人
随着网络发展,很多大型企业具备较强的服务提供能力,所以应付单个请求的攻击已经不是问题。道高一尺,魔高一丈,于是乎攻击者就组织很多同伙,同时提出服务请求,直到服务无法访问,这就叫“分布式”。但是在现实中,一般的攻击者无法组织各地伙伴协同“作战”,所以会使用“僵尸网络”来控制N多计算机进行攻击。
007bug
暂无描述