工具介紹
隨着WEB前端打包工具的流行,您在日常滲透測試、安全服務中是否遇到越來越多以Webpack打包器為代表的網站?這類打包器會將整站的API和API參數打包在一起供Web集中調用,這也便於我們快速發現網站的功能和API清單,但往往這些打包器所生成的JS文件數量異常之多並且總JS代碼量異常龐大(多達上萬行),這給我們的手工測試帶來了極大的不便,Packer Fuzzer軟件應運而生。
本工具支持自動模糊提取對應目標站點的API以及API對應的參數內容,並支持對:未授權訪問、敏感信息泄露、CORS、SQL注入、水平越權、弱口令、任意文件上傳七大漏洞進行模糊高效的快速檢測。在掃描結束之后,本工具還支持自動生成掃描報告,您可以選擇便於分析的HTML版本以及較為正規的doc、pdf、txt版本。
工具使用
python3 PackerFuzzer.py -t adv -u http://chargepoint.com
報告輸出結果
使用報錯參考
