如何使用WebSecProbe對Web應用程序執行復雜的網絡安全評估

關于WebSecProbe

WebSecProbe是一款功能強大的Web應用程序網絡安全評估工具，該工具專為網絡安全愛好者、滲透測試人員和系統管理員設計，可以執行精確而深入的復雜網絡安全評估。

該工具簡化了審查網絡服務器和應用程序的復雜過程，允許廣大研究人員能夠深入研究網絡安全的技術細微差別，并有效地加強數字資產的安全。

工具特性

WebSecProbe可以使用多種Payload對一個目標URL執行一系列HTTP請求，并測試其中潛在的安全漏洞和錯誤配置。該工具的運行流程如下：

1、獲取用戶輸入的目標URL地址和路徑；

2、定義一個Payload列表，包含不同的HTTP請求形式，例如URL編碼字符、特殊Header和不同的HTTP方法等；

3、迭代每一個Payload，通過將Payload添加到目標URL地址中來構建完整的URL；

4、針對每一個構造出來的URL，它會使用requests庫發送一個HTTP GET請求，并捕捉響應狀態碼和內容長度；

5、將每一個請求構造出來的URL、狀態碼和內容長度打印輸出，并顯示目標Web服務器針對每一個請求所返回的結果；

6、測試完所有的Payload之后，工具會查詢Wayback Machine以獲取目標URL/ 路徑的快照。如果獲取到了，則會打印最新的快照信息；

操作系統兼容性

Windows

Lilnux

Android

macOS

工具要求

Python 3

Git

支持的Payload

1、空字符串；

2、URL編碼（%2e）；

3、包含/的路徑；

4、包含//的路徑；

5、包含./的路徑；

6、請求Header（-H X-Original-URL）；

7、請求Header（-H X-Custom-IP-Authorization）；

8、請求Header（-H X-Forwarded-For）；

9、請求Header（-H X-rewrite-url）；

10、URL編碼（%20和%09）；

11、查詢參數（?）；

12、包含.html后綴的路徑；

13、包含通配符（*）的路徑；

14、包含.php后綴的路徑；

15、包含.json后綴的路徑；

16、HTTP方法（-X TRACE）；

17、路徑遍歷（..;/）；

18、十六進制編碼路徑；

19、URL編碼Null字節路徑；

20、Unicode編碼路徑；

21、...

工具下載

由于該工具基于Python 3開發，因此我們首先需要在本地設備上安裝并配置好Python 3.x環境。接下來，廣大研究人員可以直接使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/spyboy-productions/WebSecProbe.git

然后切換到項目目錄中，使用pip工具和項目提供的requirements.txt文件安裝該工具所需的其他依賴組件：

cd WebSecProbe

pip3 install -r requirements.txt

然后執行工具安裝腳本即可：

python3 setup.py

除此之外，我們還可以直接使用PYPI來安裝WebSecProbe：

pip install WebSecProbe

工具運行

命令行接口運行

WebSecProbe <URL> <Path>

工具運行樣例

WebSecProbe https://example.com admin-login

Python源碼使用

from WebSecProbe.main import WebSecProbe

 

if __name__ == "__main__":

    url = 'https://example.com'  # Replace with your target URL

    path = 'admin-login'  # Replace with your desired path

 

    probe = WebSecProbe(url, path)

    probe.run()

工具運行截圖

許可證協議

本項目的開發與發布遵循MIT開源許可證協議。

項目地址

WebSecProbe：【GitHub傳送門】

參考資料

https://pypi.org/project/WebSecProbe/