如何使用Logsensor快速识别登录面板和POST表单SQLi缺陷
如何使用Logsensor快速识别登录面板和POST表单SQLi缺陷
FB客服
发布于 2024-03-19 14:27:10
发布于 2024-03-19 14:27:10
关于Logsensor
Logsensor是一款功能强大的传感器扫描工具,在该工具的帮助下,广大研究人员不仅能够轻松发现和识别目标应用程序的登录面板,而且还可以扫描POST表单的SQLi漏洞缺陷。
Logsensor专为渗透测试和红队人员设计,可以快速识别和检测目标应用程序的安全问题。
功能介绍
1、支持执行多主机登录面板扫描任务; 2、代理兼容性(HTTP、HTTPS); 3、支持多进程扫描登录面板; 4、在扫描多个URL时速度非常快,性能强;
依赖组件
re bs4 termcolor argparse tabulate requests
工具安装
由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Mr-Robert0/Logsensor.git然后切换到项目目录中,给工具安装脚本提供可执行权限:
cd Logsensor && sudo chmod +x logsensor.py install.sh使用pip工具和项目提供的requirements.txt文件安装该工具所需的依赖组件:
pip install -r requirements.txt执行工具安装脚本即可:
./install.sh工具使用
多主机扫描以检测登录面板
我们可以根据实际需求调整线程数量,默认为30,下列命令仅执行登录面板检测器模块:
python3 logsensor.py -f <subdomains-list>python3 logsensor.py -f <subdomains-list> -t 50python3 logsensor.py -f <subdomains-list> --login针对性表单SQLi扫描
我们可以使用--sqli或-s参数并提供指定的登录面板URL,让Logsensor仅运行SQLi表单扫描模块:
python logsensor.py -u www.example.com/login --sqli除此之外,还可以开启代理以查看发送的请求,或自定义用户在登录表单输入的用户名(默认为“username”):
python logsensor.py -u www.example.com/login -s --proxy http://127.0.0.1:8080python logsensor.py -u www.example.com/login -s --inputname email查看工具帮助信息
python logsensor.py --help
usage: logsensor.py [-h --help] [--file ] [--url ] [--proxy] [--login] [--sqli] [--threads]
optional arguments:
-u , --url 目标URL (例如 http://example.com/ )
-f , --file 选择一个目标主机列表文件 (例如 list.txt )
--proxy 设置代理 (例如 http://127.0.0.1:8080)
-l, --login 仅运行登录面板检测器模块
-s, --sqli 仅运行POST表单SQLi扫描模块,需提供登录面板URL
-n , --inputname 自定义实际用户名输入以执行SQLi扫描 (例如'username'或'email')
-t , --threads 线程数量 (默认30)
-h, --help 显示工具帮助信息和退出
工具运行截图
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。
项目地址
Logsensor:
https://github.com/Mr-Robert0/Logsensor
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2024-03-18,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读