V0.5 251122
优化抓取返回包逻辑 添加部分路径黑名单"/*", "application/json", "/css", "/edge", "/ecdsa/rsa", "/a/i", "/a/b", "M/d/yy", "MM/dd/yyyy", "/403", "M/D/yy", "image/", "yyyy/MM/dd", ",", " ", "%20", "+", "("
V0.4.3 251122
修复gorogbug
添加-header 可以添加请求头信息 \r\n换行
V0.4 251122
优化代码逻辑(感觉api测试应该不如上一版,尤其是当用户输入的是http://test.com/wms/api 这种带路径的,v0.3很好就解决的v0.4可能悬了。因为改了很多逻辑但是发包量大幅下降。关键我测试的几个站没啥问题。)
用ai优化运行产生的html界面 -o html 使其不那么鸡肋 在大批量资产我还是建议txt 然后开个python服务放bp上看

添加目录遍历漏洞的被动检测
添加-basepath来设定基础路径

添加-maxreq来设定单个url最大爬取js数量 -maxhtml 单个url最多html请求数量(有些网站是狗吧纯静态这种真没必要爬取 现在很少有网站使用html来写前端了)

添加- gorog 使用gorog库来实现类似于chromdp的效果不过会下载chrome 也就是他这个库所以导致文件大小激增 当然你也可以不下载 默认是关闭的

V0.3 251114
优化代码逻辑
增强网站爬虫能力尤其对非vue站点
新添加xss检测(只有当使用-apoc 才会扫描)
新添加-aget 只使用get请求测试接口 其实-auto就是get
只不过你要用-apoc或者-aparms的时候它会走流程 get+url+参数->postjson->post url 如果使用了-aget 只会进行geturl?key=value
批量扫描慎用-apoc 有些站点会提取出来很多很多参数 然后在加上它的请求头最多只能是4096会一直一直发包
V0.29.2 251113
添加新的匹配uedit还有前端时间遇到的一些 添加mac版本
添加下述功能
- -p: 设置代理,格式为 http://IP:PORT
- -pa: 布尔值,如果设置为true,则只对测试接口未授权时使用代理
- -gjca: 字符串,用于在原有的敏感字段(如/upload, 初始密码等)基础上添加新的敏感字段,多个字段用逗号分割
- -gjc: 字符串,如果设置,则只使用用户提供的敏感字段进行匹配,默认空(即使用默认的敏感字段)
v0.29 250825
会简单检测sql注入和文件下载漏洞
优化逻辑(把除了js的路径都从新改了一下不知道其他站点如何 反正pikachu靶场效果不错 后面在观察观察)
v0.28
添加关键字检测
添加-o html文件输出(因为涉及到并发 多个url同时扫描慎用 用了也没用 后续看看有什么好的方案吧)
添加-K 只查看关键的文件
添加-sc 不打印状态码
v0.27
添加图标计算hash
添加title显示
优化路径检测逻辑