Home

Awesome

<h1 align="center" >Packer Fuzzer</h1> <h3 align="center" >一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具</h3> <p align="center"> <a href="https://github.com/rtcatc/Packer-Fuzzer"><img alt="Packer-Fuzzer" src="https://img.shields.io/badge/python-3.X-blueviolet"></a> <a href="https://github.com/rtcatc/Packer-Fuzzer"><img alt="Packer-Fuzzer" src="https://img.shields.io/badge/Version-1.4-red"></a> <a href="https://github.com/rtcatc/Packer-Fuzzer"><img alt="Packer-Fuzzer" src="https://img.shields.io/badge/LICENSE-GPL-ff69b4"></a> <a href="https://github.com/rtcatc/Packer-Fuzzer"><img alt="Packer-Fuzzer" src="https://img.shields.io/github/stars/rtcatc/Packer-Fuzzer.svg"></a> <a href="https://github.com/rtcatc/Packer-Fuzzer"><img alt="Packer-Fuzzer" src="https://img.shields.io/badge/Packer-Fuzzer-green"></a> <h5 align="center">由Poc-Sir、KpLi0rn、Liucy、RachesseHS、Lupin-III荣誉出品</h5> <h5 align="center" ><a href="doc/kiwi/README.en.md">Click here for the English version</a></h5> </p> <p align="center"> <img src="doc/kiwi/demo-terminal.png" alt="DEMO" width="77%" height="77%"> </p>

👮🏻‍♀️ 免责声明

由于传播、利用Packer Fuzzer工具(下简称本工具)提供的检测功能而造成的任何直接或者间接的后果及损失,均由使用者本人负责,Packer Fuzzer开发团队(下简称本团队)不为此承担任何责任

本工具会根据使用者检测结果自动生成扫描结果报告,本报告内容及其他衍生内容均不能代表本团队的立场及观点。

请在使用本工具时遵循使用者以及目标系统所在国当地的相关法律法规,一切未授权测试均是不被允许的。若出现相关违法行为,我们将保留追究您法律责任的权利,并全力配合相关机构展开调查。

🏝 介是个嘛

随着WEB前端打包工具的流行,您在日常渗透测试、安全服务中是否遇到越来越多以Webpack打包器为代表的网站?这类打包器会将整站的API和API参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。

本工具支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。在扫描结束之后,本工具还支持自动生成扫描报告,您可以选择便于分析的HTML版本以及较为正规的doc、pdf、txt版本。

而且您完全不用担心因为国际化带来的语言问题,本工具附带五大主流语言语言包(包括报告模板):简体中文、法语、西班牙语、英语、日语(根据翻译准确度排序),由我们非常专业的团队翻译。

注:目前第一版工具只对Webpack打包器的规则做了优化,其他打包器规则敬请期待。

🎸 安装环境

  1. 本工具使用Python3语言开发,在运行本工具之前请确保您装有Python3.X软件及pip3软件。若您未安装相关环境,可通过如下指引安装:https://www.runoob.com/python3/python3-install.html

    MacOS用户可使用如下命令快速安装:

    brew install python3 #会自动安装pip3
    

    Ubuntu用户可使用如下命令快速安装:

    sudo apt-get install -y python3 && sudo apt install -y python3-pip
    

    CentOS用户可使用如下命令快速安装:

    sudo yum -y install epel-release && sudo yum install python3 && yum install -y python3-setuptools && easy_install pip
    
  2. 本工具将会通过node_vm2运行原生NodeJS代码,故我们推荐您安装NodeJS环境(不推荐其他JS运行环境,可能会导致解析失败)。若您未安装相关环境,可通过如下指引安装:https://www.runoob.com/nodejs/nodejs-install-setup.html

    MacOS用户可使用如下命令快速安装:

    brew install node
    

    Ubuntu用户可使用如下命令快速安装:

    sudo apt-get install nodejs && sudo apt-get install npm
    

    CentOS用户可使用如下命令快速安装:

    sudo yum -y install nodejs
    
  3. 请使用如下命令一键安装本工具所需要的Python运行库:

    pip3 install -r requirements.txt
    

🦁 参数介绍

您可以使用python3 PackerFuzzer.py [options]命令来运行本工具,options内容表述如下:

🎯 使用技巧

📝 意见交流

您可以直接在Github仓库中提交ISSUE:https://github.com/rtcatc/Packer-Fuzzer/issues

如果您认为具体目标不宜直接公开,您可以给我们发送邮件:admin[at]hackinn.com

在提交时,为了便于我们判断,请附上logs目录中对应的日志文件,谢谢您的配合!

与此同时您可以扫描左下方群聊二维码加入我们的微信讨论群(受微信限制,此方式暂不可用),或者您可以扫描右边“天下大木头(KpLi0rn)”的个人二维码备注“Packer Fuzzer”由他拉您入群聊:

<p align="center"> <img alt="QR-code" src="https://data.hackinn.com/photo/PF-QRcode.jpeg?date=0121" width="20%" height="20%" style="max-width:100%;"> <img alt="QR-code" src="https://data.hackinn.com/photo/DMT-QRcode.jpg" width="20%" height="20%" style="max-width:100%;"> </p>

🍻 贡献名单

<p> <a href="https://github.com/rtcatc"><img alt="Poc Sir" src="https://avatars1.githubusercontent.com/u/15169833?s=64&v=4">&nbsp;Poc Sir</a> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="https://github.com/KpLi0rn"><img alt="KpLi0rn" src="https://avatars2.githubusercontent.com/u/44540341?s=64&v=4">&nbsp;KpLi0rn</a> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="https://github.com/Liucyer"><img alt="Liucy" src="https://avatars3.githubusercontent.com/u/33159179?s=64&v=4">&nbsp;Liucy</a> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="https://github.com/RachesseHS"><img alt="RachesseHS" src="https://avatars1.githubusercontent.com/u/38565929?s=64&v=4">&nbsp;RachesseHS</a> </p>

👑 更新记录