El parámetro de URL es una forma de transferir datos sobre una URL de destino. Podemos incluir parámetros de URL en sus URL para que sus URL realicen un seguimiento de los datos sobre un clic.
Por ejemplo, el parámetro geeksforgeeks.org/demo?url=[victim_payload] puede contener URL como valor y puede ser víctima o objetivo de varias vulnerabilidades como LFI, XSS, etc. Redirección abierta, ataques SSRF y muchos más. La herramienta Parth es una herramienta basada en el lenguaje Python que puede descubrir direcciones URL para encontrar nombres de parámetros y las vulnerabilidades o riesgos comúnmente asociados con ellos. La herramienta Parth puede almacenar los resultados en el archivo y en formato JSON. La herramienta Parth está diseñada para ayudar a los probadores de penetración en las pruebas de seguridad mediante la priorización de los componentes para la prueba.
Características de la herramienta Part:
- La herramienta Parth puede descubrir URL con parámetros riesgosos.
- La herramienta Parth está diseñada en lenguaje Python.
- La herramienta Parth puede almacenar o guardar los resultados en formato de archivo o JSON.
- La herramienta Parth es de código abierto y de uso gratuito.
Instalación:
Paso 1: verifique si el entorno de Python está establecido o no, use el siguiente comando.
python3
Paso 2: Abra su terminal Kali Linux y muévase a Escritorio usando el siguiente comando.
cd Desktop
Paso 3: Estás en el escritorio ahora crea un nuevo directorio llamado Parth usando el siguiente comando. En este directorio completaremos la instalación de la herramienta Parth.
mkdir Parth
Paso 4: ahora cambie al directorio Parth usando el siguiente comando.
cd Parth
Paso 5: Ahora tienes que instalar la herramienta. Tienes que clonar la herramienta desde Github.
sudo git clone https://github.com/s0md3v/Parth.git
Paso 6: La herramienta se ha descargado con éxito en el directorio de Parth. Ahora enumere el contenido de la herramienta usando el siguiente comando.
ls
Paso 7: Puede observar que se creó un nuevo directorio de la herramienta Parth que se generó mientras estábamos instalando la herramienta. Ahora muévete a ese directorio usando el siguiente comando:
cd Parth
Paso 8: Una vez más, para descubrir el contenido de la herramienta, use el siguiente comando.
ls
Paso 9: Ahora que hemos terminado con nuestra instalación, use el siguiente comando para ver el índice de ayuda (da una mejor comprensión de la herramienta) de la herramienta.
python3 parth.py -h
Trabajar con la herramienta Parth en Kali Linux
Ejemplo 1: Buscar URL para un dominio
En este ejemplo, realizaremos un escaneo de parámetros en nuestro objetivo geeksforgeeks.org. Hemos usado la etiqueta -t (objetivo) para especificar nuestro host de destino.
python3 parth.py -t geeksforgeeks.org
En la captura de pantalla a continuación, puede ver que nuestros resultados están listos, tenemos los parámetros en las URL junto con los riesgos asociados con ellos, también tenemos la ubicación. En la siguiente captura de pantalla, desde la parte resaltada, puede ver que una URL específica puede ser vulnerable a las vulnerabilidades LFI, XSS, SSRF.
Ejemplo 2: Ignorar nombres de parámetros duplicados
En este ejemplo, ignoraremos los nombres de parámetros duplicados en el dominio de destino. Hemos elegido ejemplo.com como nuestro objetivo porque consta de muchos parámetros duplicados, por lo que ignoraremos este parámetro duplicado. Hemos usado la etiqueta -u para ignorar los parámetros duplicados.
python3 parth.py -ut example.com
En la siguiente captura de pantalla, los resultados que se recuperan son resultados únicos, no se verá el mismo parámetro en los resultados, lo que facilita el trabajo del evaluador.
Ejemplo 3: Guardar nombres de parámetros
En este ejemplo, guardaremos los nombres de los parámetros en un archivo de texto llamado params-google.com.txt.
python3 parth.py -pt google.com
En la siguiente captura de pantalla, puede ver que los nombres de los parámetros se almacenan en el archivo de texto.
Ejemplo 4: Salida de formato de archivo
En este ejemplo, guardaremos los resultados de los parámetros detectados en el formato de archivo. La etiqueta -f se usa para guardar los resultados.
python3 parth.py -t geeksforgeeks.org -f geeksforgeeks.txt
En la siguiente captura de pantalla, puede ver que los resultados se almacenan en el archivo de texto junto con los Riesgos/Problemas y la Ubicación.
La herramienta Parth es una herramienta muy útil si cualquier investigador de seguridad o cazarrecompensas de errores está tratando de cazar errores que dependen de la entrada del usuario como SSRF, LFI, XSS. La herramienta Parth detecta fácilmente parámetros en la URL junto con el riesgo asociado con ella.
Publicación traducida automáticamente
Artículo escrito por gauravgandal y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA