Packer-Fuzzer一款好用的前端高效安全掃描工具

★★免責聲明★★
文章中涉及的程序(方法)可能帶有攻擊性，僅供安全研究與學習之用，讀者將信息做其他用途，由Ta承擔全部法律及連帶責任，文章作者不承擔任何法律及連帶責任。

1、Packer Fuzzer介紹

Packer Fuzzer是一款針對Webpack等前端打包工具所構造的網站進行快速、高效安全檢測的掃描工具。為什么會出現這個工具是由于WEB前端打包工具的流行，判斷網站是否用Webpack打包，在Chrome瀏覽器可用插件Wappalyzer的雜項查看。

在這里插入圖片描述

Packer Fuzzer支持自動模糊提取對應目標站點的API以及API對應的參數內容，并支持對：未授權訪問、敏感信息泄露、CORS、SQL注入、水平越權、弱口令、任意文件上傳七大漏洞進行模糊高效的快速檢測。在掃描結束之后，工具還支持自動生成掃描報告，您可以選擇便于分析的HTML版本以及較為正規的doc、pdf、txt版本。

項目地址：https://github.com/rtcatc/Packer-Fuzzer

2、環境準備

Packer Fuzzer工具是使用Python3語言開發，因此運行使用要確保環境安裝有Python3.x和pip3。以Kali系統為例

如果沒有kali系統虛擬機，可關注公眾號：大象只為你，后臺回復：【虛擬機】獲取。

# 切換賬號為root管理員權限
sudo su
# 查看Python3版本號命令
python3 --version
# 確認是否安裝pip3，可用查看pip3版本號
pip3 --version

如果沒安裝python3和pip3，可用以下命令進行安裝

# 更新資源
apt-get update
# 安裝python3命令
apt-get install python3
# 安裝pip3命令
apt-get install python3-pip

Packer Fuzzer工具會通過node_vm2運行原生NodeJS代碼，官方推薦安裝NodeJS環境（不推薦其他JS運行環境，可能會導致解析失敗）。安裝命令如下

apt-get install nodejs && apt-get install npm

3、安裝說明

github上有打包好的V1.4源碼包，由于requirements.txt沒有指定版本號，在python3.11版本時，即使所需要資源導入成功了，在使用時也會報異常

在這里插入圖片描述

通過問ChatGPT，再看github上的更新記錄，發現requirements.txt有最新更新記錄，指定了python-docx==0.8.11，所以使用主版本的源碼進行編譯可正常使用。

在這里插入圖片描述

安裝命令如下：

# 切換到自己要放置的目錄下，比如tools
cd tools
# 下載源碼
git clone https://github.com/rtcatc/Packer-Fuzzer.git
# 切換到源碼目錄
cd Packer-Fuzzer

在使用pip3導入資源包，發現又出現錯誤了，

在這里插入圖片描述

按提示創建虛擬環境，相關命令如下：

# 安裝python3-venv包，如果還沒安裝的話
apt install python3-venv
# 創建一個新的虛擬環境
python3 -m venv myenv
# 激活虛擬環境
source myenv/bin/activate
#-------分割線----------
# 退出虛擬環境
deactivate

說明：虛擬環境，當前窗口關閉后就失效，下次需要使用時，注意切換目錄到myenv所在目錄去激活

激活虛擬環境后，一鍵安裝需要的資源

pip3 install -r requirements.txt

4、使用說明

4.1、參數介紹

使用python3 PackerFuzzer.py [options]命令來運行Packer Fuzzer工具，常用參數如下：

-h（–help） # 幫助命令，無需附加參數，查看工具支持的全部參數及其對應簡介；

-u（–url） # 要掃描的網站網址路徑，為必填選項，例如：-u https://demo.poc-sir.com；

-c（–cookie）# 附加cookies內容，可為空，若填寫則將全局傳入，例如：-c "POC=666;SIR=233"；

-d（–head) # 附加HTTP頭部內容，可為空，若填寫則將全局傳入，默認為Cache-Control:no-cache，例如：-d "Token:3VHJ32HF0"；

-t（–type） # 分為基礎版和高級版，默認基礎版本，高級版 -t adv

更多詳細參數請查看github的參數介紹。

4.2、示例掃描說明

以某個網址做掃描驗證，前端是vue實現的，掃描命令是 python3 PackerFuzzer.py -u http://xxx.com

在這里插入圖片描述

掃描結果做為漏洞挖掘的參考，詳細的報告在reports目錄下，默認有html和docx兩種格式，命名是目標掃描域名再加一串隨機數。可直接訪問xx.html或復制到自己本機查看報告。

在這里插入圖片描述

我更習慣使用html格式，左側列出報告摘要、漏洞詳情、安全建議等，右側根據菜單點擊詳情展示，很友好。

在這里插入圖片描述

像一些js文件一般是加密的，可以再使用在線工具解密，然后格式化查看內容。這個工具檢測出來的漏洞不一定就是百分百正確，在實際使用過程中結合判斷。

5、我的公眾號

敬請關注我的公眾號：大象只為你，持續更新網安相關知識中…

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/36469.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/36469.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/36469.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！