同时使用以下 --common和 --append-rule filebak 生成的扫描字典惨不忍睹 #40

SuperXiaoxiong · 2024-06-12T06:50:19Z

生成了很多如下扫描目录

files.2/README.md~/README.md~/README.txtbak
files.1/README.md.bak/README.md.old
files~/readme.txt~/README.md.old/README.md
files/LICENSE.txt~/readme.mdbak
files.1/README.md~/README.md~/readme.mdbak/README.md

The text was updated successfully, but these errors were encountered:

M09Ic · 2024-06-23T08:43:53Z

和过滤策略设置的有问题，看来是默认的过滤设置没有过滤掉很多无效页面。导致append-rule生效于无效页面。

是否可以提供测试站点

SuperXiaoxiong · 2024-07-16T03:40:22Z

网上找的在野站点，不太好提供
可以模拟一下输出，最后结果中会输出这两个，这个是预期之类的，特异性404 和 403

[rule]          404     153     1076ms  https://host/files~ [404 Not Found] [nginx]
[redirect]      403     153     1199ms  https://host/files --> https://ids.nuctech.com/files/ [403 Forbidden] [nginx]

但是途中标圈的不清楚是这么生成出来的

M09Ic · 2024-07-19T05:34:03Z

因为没看到提供的命令输入，所以我猜测应该是内置的rule规则与common/bak功能交叉生成的字典

SuperXiaoxiong · 2024-08-21T12:52:02Z

同时使用了 --common --append-rule filebak
这两个参数

M09Ic · 2024-08-22T08:19:03Z

那就是过滤算法出了问题. 因为append-rule是根据有效目录生成的. 如果过滤算法正常, append-rule不会爆炸式派生. 可以提供更多上下文, 提升spray默认的过滤算法

M09Ic added the enhancement New feature or request label Jun 24, 2024

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

同时使用以下 --common和 --append-rule filebak 生成的扫描字典惨不忍睹 #40

同时使用以下 --common和 --append-rule filebak 生成的扫描字典惨不忍睹 #40

SuperXiaoxiong commented Jun 12, 2024

M09Ic commented Jun 23, 2024

SuperXiaoxiong commented Jul 16, 2024 •

edited

Loading

M09Ic commented Jul 19, 2024

SuperXiaoxiong commented Aug 21, 2024

M09Ic commented Aug 22, 2024

同时使用以下 --common和 --append-rule filebak 生成的扫描字典惨不忍睹 #40

同时使用以下 --common和 --append-rule filebak 生成的扫描字典惨不忍睹 #40

Comments

SuperXiaoxiong commented Jun 12, 2024

M09Ic commented Jun 23, 2024

SuperXiaoxiong commented Jul 16, 2024 • edited Loading

M09Ic commented Jul 19, 2024

SuperXiaoxiong commented Aug 21, 2024

M09Ic commented Aug 22, 2024

SuperXiaoxiong commented Jul 16, 2024 •

edited

Loading