未授权扫描工具-APIFinder

最新推荐文章于 2024-09-22 10:27:13 发布
最新推荐文章于 2024-09-22 10:27:13 发布
阅读量378 收藏
点赞数 2
分类专栏: 工具使用 文章标签: 测试工具 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_52923241/article/details/142382800
版权

该工具目的是为了发现某文件中的路径,然后拼接到某url后,通过响应码及返回长度,快速定位并判断其是否存在未授权。
APIFinder [-h] [-u URL1] [-f file] [-U URL2] [-i RES]

参数描述
-u目标url(例如:http://xxx.com/x.js)
-f目标文件(由于一些js需要下载才能查看,或者要扫一些代码文件中的地址,用此参数即可)
-U需要拼接的url(例如:http://xxx.com/xx)
-i输出对应响应码的url及长度(例如:200)

最终会输出一个result.txt文件,用来存放从目标url提取出来、并拼接上指定url的地址。
在这里插入图片描述GitHub下载:https://github.com/duduwjr/APIFinder

未授权访问火眼红队工具
neal1991的专栏
12-09 707
未授权访问火眼红队工具概述一个由国家支撑的顶尖的竞争者窃取了火眼的红队工具。因为我们认为竞争者已经拥有这些工具,并且我们不知道攻击者是否打算自己使用被盗的工具还是公开披露它们,所以火眼在...
BurpSuite插件自动化发现:未授权/敏感信息/越权隐匿漏洞 | BurpAPIFinder安装+使用
最新发布
2202_75361164的博客
02-12 1216
攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,通过该BurpAPIFinder插件我们可以:1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口3、发现登陆后台网址4、发现在html、JS中泄漏账号密码或者云主机的Access Key和SecretKey5、自动提取js、html中路径进行访问,也支持自定义父路径访问 …下载地址在文末。
redis 未授权访问 弱口令批量扫描工具
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
04-11 1667
redis 未授权访问 弱口令批量扫描工具 项目地址github 输入:input_data.txt,格式为ip:port 命令: 1、redis unauthorized access scan python3 redis_scan.py -u 2、redis weak password scan python3 redis_scan.py -w 扫描方式:多线程,每个弱口令扫描一遍所有ip,类似密码喷洒 ...
APIFinder——你的API向导
cpongo5
04-24 324
今天的开发人员时常需要创建一些调用其他网站服务的应用程序。有时候,调用这些服务需要学习和理解一些复杂的应用程序编程接口(Application Programming Interface,API)。 \ 进入APIFinder,这是一个专注于把各种各样来自于互联网的API集合在一起的网站。 \ 什么是APIFinderAPIFinder是一个正在成长中的各种各样应用程序编程接口(API...
工具分享 | BurpAPIFinder - 一款Burpsuite的API敏感信息查找的burp插件,多个SRC挖掘大佬都在使用。
IT软件汇
09-16 980
工具分享 | BurpAPIFinder - 一款Burpsuite的API敏感信息查找的burp插件,多个SRC挖掘大佬都在使用。
自用 超级未授权检测工具
m0_61393131的博客
08-30 528
自用 超级未授权检测工具
Burpsuite插件 BurpAPIFinder专为未授权/敏感信息/越权而生
Shaun_X
04-19 2308
攻防演练过程中,我们通常会用浏览器访问一些资产,但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等,该插件能让我们发现未授权/敏感信息/越权/登陆接口等。
RL!APIFinder OllyDBG plugin 0.3 by ap0x
Linhanshi Blog
09-13 1715
http://ap0x.jezgra.net/APIFinder.rar 
Zookeeper -- 如何设置访问白名单 & 解决ZooKeeper 未授权访问的扫描漏洞
支棱起来
08-12 4329
扫描软件的漏洞描述 详细描述 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许未经授权的访问。 解决办法 为ZooKeeper配置相应的访问权限。 方式一: 1
常见的未授权漏洞批量检测工具
weixin_46211944的博客
06-26 1510
命令行版已放出支持多线程,批量扫描,指定服务扫描,命令行版地址https://github.com/xk11z/unauthorized_com。10 、Apache Spark 未授权访问(6066、8081、8082)22 、RabbitMQ 未授权访问(15672、15692、25672)19 、Elasticsearch 未授权访问(9200、9300)24 、NFS 未授权访问(2049、20048)4 、ZooKeeper 未授权访问(2181)8 、VNC 未授权访问(5900、5901)
【转载】JAVA常用组件未授权漏洞解析
maoxiaotao的博客
02-04 2241
在java项目中,经常会使用一些监控类的组件来监控系统的状态,如果对这些组件没有做好权限控制,公网可以任意访问的话,就会泄露敏感信息,进一步造成更严重的危害。今天就来看一下,都有哪些组件。
Alibaba Druid 未授权访问
weixin_45238297的博客
11-05 4539
Alibaba Druid 未授权访问【原理扫描】 启动项目后druid的登录界面:http://localhost:8080/druid/index.html;在没有配置需要用户名和密码的情况下,会直接登录进入,如下图: 如果有配置对应的用户名和密码druid就会弹出登录界面,如下图: 弹出登录界面输入用户名和密码的配置文件路径:webapps\ROOT\WEB-INF下的web.xml文件; 下面展示配置部份代码: DruidStatView com.alibaba.
网络安全工具——AWVS漏洞扫描工具
p36273的博客
05-18 8478
8.安装好之后,将我们下载的Acunetix压缩包中的wvsc.exe粘贴覆盖掉D:\Program Files (x86)\Acunetix\15.2.221208162下的wvsc.exe,将文件中的license_info.json粘贴覆盖掉D:\ProgramData\Acunetix\shared\license下的license_info.json。9、使用浏览器登录URL:https:// https://awvs.lan:3443/,这是就发现已经破解,可以正常使用。
未授权漏洞检测工具
coca016的博客
04-29 852
未授权漏洞检测
常用的30+种未授权访问漏洞汇总
qq_50854662的博客
09-17 5926
常用的30+种未授权访问漏洞汇总
漏洞扫描工具汇总
weixin_43822401的博客
05-11 1032
超级弱口令检查工具是一款Windows平台的弱口令审计工具工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。Nuclei 提供对各种协议的扫描,包括 TCP、DNS、HTTP、SSL、File、Whois、Websocket、Headless 等。
X_Scan扫描工具深度解析及应用
weixin_42527589的博客
09-22 3653
本文还有配套的精品资源,点击获取 简介:X_Scan(X-Scan)是一款专业的网络安全扫描工具,能对网络中的主机IP、开放端口和安全漏洞进行深入检测,并提供详尽的安全评估报告。其功能包括多协议扫描、端口扫描、漏洞检测、弱口令检查、隐蔽扫描以及自定义插件。X-Scan安装简便,用户可自定义扫描参数,并通过软件提供的详细扫描报告和安全建议来提升网络安全防护。该工具适用于网络审...
针对Swagger接口泄露未授权访问的各种姿势
热门推荐
2401_83799022的博客
08-05 1万+
然后先从Swagger漏洞的相关简介,再到相关使用的插件包括工具等的使用,然后再从实战中的案例进行解析和讲解。关键字,这个你可以点击下,这个标识就是表示这个泄露的 接口需要我们输入加密的信息,要是按照正常的直接访问这个泄露的api接口,然后看敏感信息就不可行了,下面我来带大家使用一个Swagger脚本工具来给师傅们演示下。上面给师傅们分享的都是这几天的收获,然后前面的简介包括对于Swagger接口泄露和未授权也是解释方面也是蛮细的,也蛮适合新手宝宝看的文章,也是希望这篇文章对看的师傅们有些帮助哈!
工具分享 | unauthorized_com是一款未授权漏洞检测工具,SRC挖掘必备,甲方测试必备。
IT软件汇
09-13 326
工具分享 | unauthorized_com是一款未授权漏洞检测工具,SRC挖掘必备,甲方测试必备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值