第14天 信息打点-JS 架构&框架识别&泄漏提取&API 接口枚举&FUZZ 爬虫&插件项目

这个问题看起来是要求我们帮助他们实现一个自动化的信息收集工具,该工具可以识别网站的技术栈、泄露的API接口和执行模糊测试来发现更多的API接口。

以下是一个简化的Python脚本示例,它可以帮助你识别网站的JavaScript框架和API接口:




import requests
from bs4 import BeautifulSoup
import re
 
def identify_frameworks(url):
    response = requests.get(url)
    soup = BeautifulSoup(response.text, 'html.parser')
    scripts = soup.find_all('script', src=True)
    frameworks = []
    for script in scripts:
        if 'framework' in script['src']:
            framework = script['src'].split('/')[-1]
            frameworks.append(framework)
    return frameworks
 
def extract_api_endpoints(url):
    response = requests.get(url)
    soup = BeautifulSoup(response.text, 'html.parser')
    comments = soup.find_all('!--')
    api_endpoints = []
    for comment in comments:
        if 'API' in comment.text:
            api_endpoints.append(re.search('API: (.*)', comment.text).group(1))
    return api_endpoints
 
def fuzz_api_endpoints(base_url, wordlist):
    import requests
    import time
 
    successful_endpoints = []
    for word in wordlist:
        endpoint = f"{base_url}/{word}"
        try:
            response = requests.get(endpoint)
            if response.status_code == 200:
                successful_endpoints.append(endpoint)
        except requests.exceptions.RequestException:
            pass
        time.sleep(0.5)  # 防止被服务器封禁
    return successful_endpoints
 
# 使用示例
url = 'http://example.com'
frameworks = identify_frameworks(url)
print("Identified Frameworks:", frameworks)
 
api_endpoints = extract_api_endpoints(url)
print("Extracted API Endpoints:", api_endpoints)
 
wordlist = ['api', 'auth', 'login', 'users', 'products', 'orders']  # 这里使用一个简单的词汇列表作为模糊测试的基础
fuzzed_endpoints = fuzz_api_endpoints(url, wordlist)
print("Fuzzed API Endpoints:", fuzzed_endpoints)

这个脚本首先定义了一个函数来识别网页中的JavaScript框架,另一个函数用于提取HTML注释中的API接口信息,最后一个函数使用一个词汇列表进行模糊测试来发现更多的API接口。

请注意,这个脚本需要requests和beautifulsoup库,可以通过pip install requests beautifulsoup4来安装。同时,模糊测试部分需要根据实际情况进行调整,可能需要一个更大的词汇列表和更复杂的模糊测试逻辑。

评论已关闭

推荐阅读

DDPG 模型解析,附Pytorch完整代码
2024年11月24日
DQN 模型解析,附Pytorch完整代码
2024年11月24日
AIGC实战——Transformer模型
2024年12月01日
Socket TCP 和 UDP 编程基础(Python)
2024年11月30日
python , tcp , udp
如何使用 ChatGPT 进行学术润色?你需要这些指令
2024年12月01日
AI
最新 Python 调用 OpenAi 详细教程实现问答、图像合成、图像理解、语音合成、语音识别(详细教程)
2024年11月24日
ChatGPT 和 DALL·E 2 配合生成故事绘本
2024年12月01日
omegaconf,一个超强的 Python 库!
2024年11月24日
【视觉AIGC识别】误差特征、人脸伪造检测、其他类型假图检测
2024年12月01日
[超级详细]如何在深度学习训练模型过程中使用 GPU 加速
2024年11月29日
Python 物理引擎pymunk最完整教程
2024年11月27日
MediaPipe 人体姿态与手指关键点检测教程
2024年11月27日
深入了解 Taipy:Python 打造 Web 应用的全面教程
2024年11月26日
基于Transformer的时间序列预测模型
2024年11月25日
Python在金融大数据分析中的AI应用(股价分析、量化交易)实战
2024年11月25日
AIGC Gradio系列学习教程之Components
2024年12月01日
Python3 `asyncio` — 异步 I/O,事件循环和并发工具
2024年11月30日
llama-factory SFT系列教程:大模型在自定义数据集 LoRA 训练与部署
2024年12月01日
Python 多线程和多进程用法
2024年11月24日
Python socket详解,全网最全教程
2024年11月27日