HTTP 隐藏参数 (HTTP Hidden Parameters)

Web 应用程序通常具有在用户界面中未公开的隐藏或未记录的参数。模糊测试 (Fuzzing) 可以帮助发现这些参数，这些参数可能容易受到各种攻击。

摘要 (Summary)

• 工具 (#tools)
• 方法论 (#methodology)
  • 暴力破解参数 (#bruteforce-parameters)
  • 旧参数 (#old-parameters)
• 参考资料 (#references)

工具 (Tools)

• PortSwigger/param-miner - Burp 扩展，用于识别隐藏的、未链接的参数。
• s0md3v/Arjun - HTTP 参数发现套件。
• Sh1Yo/x8 - 隐藏参数发现套件。
• tomnomnom/waybackurls - 获取 Wayback Machine 所知道的该域名的所有 URL。
• devanshbatham/ParamSpider - 从 Web 档案的阴暗角落挖掘 URL，用于漏洞挖掘/模糊测试/进一步探测。

方法论 (Methodology)

暴力破解参数 (Bruteforce Parameters)

• 使用常见参数词表并发送它们，观察后端是否有异常行为。

  x8 -u "https://example.com/" -w <wordlist>
  x8 -u "https://example.com/" -X POST -w <wordlist>
  

词表示例：

• Arjun/large.txt
• Arjun/medium.txt
• Arjun/small.txt
• samlists/sam-cc-parameters-lowercase-all.txt
• samlists/sam-cc-parameters-mixedcase-all.txt

旧参数 (Old Parameters)

探索目标的所有 URL 以发现旧参数。

• 浏览 Wayback Machine
• 检查 JS 文件以发现未使用的参数

参考资料 (References)

• 黑客工具：Arjun – 参数发现工具 - Intigriti - 2021年5月17日
• 参数发现：快速入门指南 - YesWeHack - 2022年4月20日

Share this content