Поиск скрытых параметров HTTP-запросов

Поиск скрытых параметров HTTP-запросов утилитой Arjun

Вы, конечно же, часто подставляете кавычки, скобочки и прочие странности в уязвимые параметры GET- и POST-запросов. Иногда руками, чтобы посмотреть, не вывалится ли приложение в ошибку, иногда автоматизированно при поиске инъекций тулзами типа sqlmap. Однако, чтобы что-то подставлять, нужно знать параметр, куда именно вставлять.

Как правило, список принимаемых query-параметров можно подсмотреть, проксируя запросы в том же Burp. Однако на множестве сайтов существуют скрытые параметры, которые не видны. Причин может быть много:

  • вы не добрались до запросов с ними;
  • с текущими правами они не подставляются, но обрабатываются;
  • забытый API;
  • отладочные аргументы.

Поиск скрытых параметров HTTP-запросов утилитой Arjun

Утилита arjun может найти такие скрытые параметры. Алгоритм работы следующий:

  1. Имеем вордлист со списком большого количества всех возможных query-параметров.
  2. Последовательно идем по нему.
  3. Проверяем ответы. Если параметр отражается, значит, он потенциально уязвим.
Поиск скрытых параметров HTTP-запросов утилитой Arjun

Обратите внимание, что скрипт требует requests и наличия второй ветки Python.

Автор: Somdev Sangwan. Скачать утилиту Arjun можете с официальной страницы на Github.

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *