如何使用WebSecProbe对Web应用程序执行复杂的网络安全评估

Anna艳娜2024-01-06 11:25:59


关于WebSecProbe


WebSecProbe是一款功能强大的Web应用程序网络安全评估工具,该工具专为网络安全爱好者、渗透测试人员和系统管理员设计,可以执行精确而深入的复杂网络安全评估。


该工具简化了审查网络服务器和应用程序的复杂过程,允许广大研究人员能够深入研究网络安全的技术细微差别,并有效地加强数字资产的安全。


工具特性


WebSecProbe可以使用多种Payload对一个目标URL执行一系列HTTP请求,并测试其中潜在的安全漏洞和错误配置。该工具的运行流程如下:


1、获取用户输入的目标URL地址和路径;
2、定义一个Payload列表,包含不同的HTTP请求形式,例如URL编码字符、特殊Header和不同的HTTP方法等;
3、迭代每一个Payload,通过将Payload添加到目标URL地址中来构建完整的URL;
4、针对每一个构造出来的URL,它会使用requests库发送一个HTTP GET请求,并捕捉响应状态码和内容长度;
5、将每一个请求构造出来的URL、状态码和内容长度打印输出,并显示目标Web服务器针对每一个请求所返回的结果;
6、测试完所有的Payload之后,工具会查询Wayback Machine以获取目标URL/ 路径的快照。如果获取到了,则会打印最新的快照信息;


操作系统兼容性


Windows
Lilnux
Android
macOS


工具要求


Python 3
Git


支持的Payload


1、空字符串;
2、URL编码(%2e);
3、包含/的路径;
4、包含//的路径;
5、包含./的路径;
6、请求Header(-H X-Original-URL);
7、请求Header(-H X-Custom-IP-Authorization);
8、请求Header(-H X-Forwarded-For);
9、请求Header(-H X-rewrite-url);
10、URL编码(%20和%09);
11、查询参数(?);
12、包含.html后缀的路径;
13、包含通配符(*)的路径;
14、包含.php后缀的路径;
15、包含.json后缀的路径;
16、HTTP方法(-X TRACE);
17、路径遍历(..;/);
18、十六进制编码路径;
19、URL编码Null字节路径;
20、Unicode编码路径;
21、...


工具下载


由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:


git clone https://github.com/spyboy-productions/WebSecProbe.git


然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:


cd WebSecProbe

pip3 install -r requirements.txt


然后执行工具安装脚本即可:


python3 setup.py


除此之外,我们还可以直接使用PYPI来安装WebSecProbe:


pip install WebSecProbe


工具运行


命令行接口运行


WebSecProbe <URL> <Path>


工具运行样例


WebSecProbe https://example.com admin-login


Python源码使用


from WebSecProbe.main import WebSecProbe

 

if __name__ == "__main__":

    url = 'https://example.com'  # Replace with your target URL

    path = 'admin-login'  # Replace with your desired path

 

    probe = WebSecProbe(url, path)

    probe.run()


工具运行截图



许可证协议


本项目的开发与发布遵循MIT开源许可证协议。


项目地址


WebSecProbe:【GitHub传送门


参考资料


https://pypi.org/project/WebSecProbe/


网络安全web技术
本作品采用《CC 协议》,转载必须注明作者和本文链接
最好完全避免品牌声誉受损事件。帮助组织避免这些事件是Forcepoint的核心任务。成为一名网络安全从业人员,这是一个激动人心的时刻。并重视了解网络上的用户行为。作为战略业务和技术领导者,Soto推动并倡导公司的企业愿景,战略和计划,以保护公司内部以及数千名Forcepoint的人员。Nick以前是赛门铁克全球服务部门的首席技术官。
Web 应用通常用于对外提供服务,由于具有开放性的特点,逐渐成为网络攻击的重要对象,而漏洞利用是实现 Web 攻击的主要技术途径。越权漏洞作为一种常见的高危安全漏洞,被开 放 Web 应 用 安 全 项 目(Open Web Application Security Project,OWASP) 列 入 10 个 最 关 键Web 应用程序安全漏洞列表。结合近几年披露的与越权相关的 Web 应用通
Web日志安全分析浅谈
2022-01-12 06:36:15
attack=test';select//1//from/**/1,此时请求状态码为200,但是此注入攻击并没有得到执行,实际情况中,还会有更多情况导致产生此类的噪声数据。抛开这类情况不谈,我们来说说在一般应急响应场景中我们分析日志的常规办法。假设我们面对的是一个相对初级的黑客,一般我们直接到服务器检查是否存有明显的webshell即可。
作为“十四五”开局之年,2021年上半年,国家各部门密集发布网络安全、数据安全相关的法律政策、技术标准、产业报告及白皮书等,加速推动网络安全产业发展、技术创新和成果转化应用,护航数字经济发展。一图读懂2021年《政府工作报告》)。标准主要内容包括安全功能要求和安全保障要求。
随着《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》的陆续发布和实施,作为法律法规有力支撑的网络安全国家标准、行业标准也持续发布,涵盖云安全、工业互联网安全、物联网安全、车联网安全等领域,以及金融、通信、广电等重要行业,得到了高度关注。 新年伊始,小编整理了2021年我国发布的重要网络安全标准,供大家参考。
近日,中国网络安全产业联盟正式发布联盟标准T/CCIA 001-2022《面向网络安全保险的风险评估指引》,并将于2022年5月1日起实施。
随着网络发展,很多大型企业具备较强的服务提供能力,所以应付单个请求的攻击已经不是问题。道高一尺,魔高一丈,于是乎攻击者就组织很多同伙,同时提出服务请求,直到服务无法访问,这就叫“分布式”。但是在现实中,一般的攻击者无法组织各地伙伴协同“作战”,所以会使用“僵尸网络”来控制N多计算机进行攻击。
研究关基面临的合规性要求、现实风险和问题,开展体系化防护顶层设计具有重要意义。关基安全保护条例主要内容2021年4月,国务院第133次常务会议通过《关键信息基础设施安全保护条例》,自2021年9月1日起施行。第五章“法律责任”处罚条件和处罚内容。关基安全保护条例为关基体系化防护顶层设计奠定了坚实基础。以下从十个方面来说明大型企业进行关基防护体系化设计的思路与方法。
Webshell 检测综述
2022-12-15 09:45:32
通过Webshell,攻击者可以在目标服务器上执行一些命令从而完成信息嗅探、数据窃取或篡改等非法操作,对Web服务器造成巨大危害。Webshell恶意软件是一种长期存在的普遍威胁,能够绕过很多安全工具的检测。许多研究人员在Webshell检测领域进行了深入研究,并提出了一些卓有成效的方法。本文以PHP Webshell为例。
Anna艳娜
暂无描述