ParamSpider 使用指南：从Web文档中挖掘敏感参数

工具概述

ParamSpider 是一款功能强大的 Web 参数挖掘工具，能够从 Web 文档的最深处挖掘出目标参数。它主要用于安全测试和漏洞挖掘，帮助研究人员发现潜在的敏感参数。

核心功能

• 针对给定域名从 Web 文档中搜索相关参数
• 针对给定子域名从 Web 文档中搜索相关参数
• 支持通过指定扩展名扫描引入的外部 URL 地址
• 以用户友好的方式存储扫描输出结果
• 无需与目标主机交互即可挖掘参数

安装要求

• Python 3.7+ 环境
• Git 客户端（用于克隆项目）

安装步骤

1. 克隆项目到本地：

   $ git clone https://github.com/devanshbatham/ParamSpider
   

2. 进入项目目录：

   $ cd ParamSpider
   

3. 安装依赖组件：

   $ pip3 install -r requirements.txt
   

基本使用方法

1. 简单扫描（不使用排除参数）

$ python3 paramspider.py --domain hackerone.com

输出示例：https://hackerone.com/test.php?q=FUZZ

2. 使用特定扩展名排除外部URL

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg,svg

3. 查询嵌套参数（高级模式）

$ python3 paramspider.py --domain hackerone.com --level high

输出示例：https://hackerone.com/test.php?p=test&q=FUZZ

4. 存储扫描结果

$ python3 paramspider.py --domain hackerone.com --exclude php,jpg --output hackerone.txt

5. 使用自定义占位符（默认为"FUZZ"）

$ python3 paramspider.py --domain hackerone.com --placeholder FUZZ2

6. 静默模式（不显示URL输出）

$ python3 paramspider.py --domain hackerone.com --quiet

7. 排除子域名扫描

$ python3 paramspider.py --domain hackerone.com --subs False

与GF工具集成使用

GF 是一款模式匹配工具，可用于从大量参数中筛选出有潜在安全风险的参数。

GF安装配置

1. 安装GF（需要Go环境）：

   $ go get -u github.com/tomnomnom/gf
   

2. 复制示例配置：

   $ cp -r $GOPATH/src/github.com/tomnomnom/gf/examples ~/.gf
   

3. 设置别名（路径根据实际情况调整）：

   $ alias gf='/User/levi/go/bin/gf'
   

4. 下载并放置GF配置文件：

   • 进入 ~/.gf/ 目录
   • 从 ParamSpider的GF配置文件 下载JSON文件并放入该目录

GF使用示例

$ gf redirect domain.txt    # 查找潜在的开放重定向/SSRF参数
$ gf xss domain.txt        # 查找潜在的XSS漏洞参数
$ gf potential domain.txt  # 查找XSS+SSRF+开放重定向参数
$ gf wordpress domain.txt  # 查找WordPress相关URL

实际应用示例

$ python3 paramspider.py --domain bugcrowd.com --exclude woff,css,js,png,svg,php,jpg --output bugcrowd.txt

注意事项

1. 由于工具是从Web文档数据中爬取参数，输出结果可能存在假阳性
2. 使用前请确保获得目标网站的授权
3. 扫描结果需要人工验证确认
4. 建议在安全测试环境中使用

项目地址

ParamSpider GitHub 仓库：https://github.com/devanshbatham/ParamSpider

通过以上指南，您可以充分利用ParamSpider挖掘Web应用中的敏感参数，并结合GF工具进行高效的安全测试。