关于WWWGrepWWWGrep是一个HTML安全工具。或递归搜索。Header名称和值也可以通过这种方式递归搜索。使用递归选项快速定位登录页面,以在目标站点上搜索名为“用户名”或“密码”的输入字段。快速检查标题以了解特定技术的使用。通过搜索响应标头快速定位cookie和JWT令牌。与代理工具一起使用,通过一组链接快速自动化递归。通过搜索输入字段和参数处理符号来查找页面(或站点)上的所有输入接收器。查找页面上的所有开发人员评论,以确定被注释掉的代码(或待办事项)。快速找到网页中存在的易受攻击的JavaScript代码。识别页面代码中存在的API令牌和访问密钥。快速测试受管理的多个站点是否正在使用易受攻击的代码。快速测试受管理的多个站点是否正在使用易受攻击的框架/技术。查找可能共享通用代码库的站点以确定缺陷/漏洞的影响。查找共享通用身份验证令牌(标头身份验证令牌)的站点。其他功能...工具安装研究人员可以使用如下命令将项目源码克隆到本地并安装相关依赖组件:gitclonehttps://github.com/OWASP/wwwgrep.gitpip3install-rrequirements.txtpython3wwwgrep.py<参数和参数>依赖组件(pip3install-rrequirements.txt)-Python3.5+-BeautifulSoup4-UrlLib.parse-requests_html-argparse-requests-re-os.path命令行选项wwwgrep.py[target/file][search_string][searchparams/criteria/recursionetc]SearchInputssearch_string为搜索参数中指定类型的所有对象指定要搜索的字符串或“”-t--target指定单个URL作为搜索目标-f--file指定用于搜索URL列表文件的文件Recursion-rr--recurse-root限制URL递归到目标中提供的域-ra--recurse-any允许递归扩展到目标域匹配之外(默认是按大小写)-d--dedupe允许每页重复结果(默认是消除重复结果)-r--no-redirects不允许重定向(默认是允许重定向)-b--no-base-url从输出中忽略匹配的URL(默认包括URL)-x--regex允许正则表达式匹配(搜索字符串被视为正则表达式,默认关闭)-e--separator指定和输出说明符(默认:)-j--java-render打开页面对象和文本的JavaScript呈现(默认关闭)-p--linked-js-on开启链接(scriptsrctag)Java脚本搜索功能(默认关闭)RequestParameters-ps--https-proxy指定HT格式为"https://
