HTTP隐藏参数


文档摘要

HTTP 隐藏参数 Web 应用程序通常包含未在用户界面中公开的隐藏或未记录的参数。模糊测试可以帮助发现这些参数,而这些参数可能容易受到各种攻击的影响。 摘要 工具 方法论 暴力破解参数 旧参数 参考文献 工具 PortSwigger/param-miner - Burp 扩展,用于识别隐藏的、未链接的参数。 s0md3v/Arjun - HTTP 参数发现工具集 Sh1Yo/x8 - 隐藏参数发现工具集 tomnomnom/waybackurls - 获取 Wayback Machine 知道的某个域名的所有 URL devanshbatham/ParamSpider - 从 Web 存档的“黑暗角落”中挖掘 URL,用于漏洞挖掘、模糊测试或其他进一步探测 方法论 暴力破解参数

HTTP 隐藏参数

Web 应用程序通常包含未在用户界面中公开的隐藏或未记录的参数。模糊测试可以帮助发现这些参数,而这些参数可能容易受到各种攻击的影响。

摘要

工具

方法论

暴力破解参数

  • 使用常见参数的字典列表并发送这些参数,观察后端是否有异常行为。

    x8 -u "https://example.com/" -w <wordlist> x8 -u "https://example.com/" -X POST -w <wordlist>

字典示例:

旧参数

探索目标中的所有 URL,以查找旧参数。

参考文献

免责声明
本文件由基于人工智能的机器翻译服务翻译而成。尽管我们力求翻译准确,但请注意,自动翻译可能包含错误或不准确之处。应以原始语言版本的文件为准。对于关键信息,建议使用专业的人工翻译。对于因使用本翻译而产生的任何误解或误读,我们概不负责。


发布者: 作者: 转发
评论区 (0)
U