Underc0de

[In]Seguridad Informática => Seguridad web y en servidores => Mensaje iniciado por: ANTRAX en Noviembre 13, 2018, 09:49:30 PM

Título: Arjun: herramienta para el descubrimiento de parámetros web
Publicado por: ANTRAX en Noviembre 13, 2018, 09:49:30 PM
Arjun es una herramienta en python < 3.4 para el descubrimiento de parámetros web. Sus características principales son:

    Multihilo
    3 modos de detección
    Escaneo heuristico regex
    Enorme lista de nombres de parámetros (3370) de @SecLists

(https://1.bp.blogspot.com/-iUCia1on3AU/W-tlIu1g9II/AAAAAAABMRA/uAylS7XRGnMioUBG45pn6i7wYBnPKG8-QCLcBGAs/s1600/arjun1.png)

Descubrimiento de parametros

Para encontrar parámetros GET, puedes simplemente hacer:

Código (python) [Seleccionar]
python3 arjun.py -u https://api.example.com/endpoint --get

Del mismo modo, usa --post para encontrar parámetros POST.

Multihilo

Arjun usa 2 hilos de forma predeterminada, pero se puede ajustar su rendimiento de acuerdo con la conexión de red.

Código (python) [Seleccionar]
python3 arjun.py -u https://api.example.com/endpoint --get -t 22

Delay entre peticiones

Se puede ajustar el delay de las peticiones utilizando la opción -d de la siguiente forma:

Código (python) [Seleccionar]
python3 arjun.py -u https://api.example.com/endpoint --get -d 2

Añadiendo encabezados HTTP

Al usar el parámetro --headers se abrirá un prompt interactivo donde se pueden pegar encabezados HTTP. Ctrl + S para guardar y Ctrl + X para procesar.

(https://3.bp.blogspot.com/-prTwIjcNWNo/W-tlbwtU7cI/AAAAAAABMRI/ee47-JPkNM4m-e_I_WOskoH39zgSqT61wCLcBGAs/s1600/arjun2.png)

Nota: Arjun usa nano como editor predeterminado para el prompt, pero se puede cambiar en /core/prompt.py.

Github: https://github.com/s0md3v/Arjun

Fuente: hackplayers
Título: Re:Arjun: herramienta para el descubrimiento de parámetros web
Publicado por: targass en Julio 17, 2019, 03:57:47 PM
la misma opción de guardar headers http en burp suite o en owas alguien sabe como va..