Paquet : arjun (2.2.7-1)

suite de découverte de paramètres HTTP

Ce paquet peut récupérer les paramètres de requête pour points terminaux d’URL.

Les applications web utilisent des paramètres (ou des requêtes) pour accepter la saisie d’utilisateur. Si l’on prend l’exemple suivant en considération :

   http ://api.example.com/v1/userinfo?id=751634589

Cet URL semble charger l’information d’utilisateur pour un identifiant d’utilisateur spécifique, mais que se passe-t’il si un paramètre nommé admin existe qui, quand il est défini à True, fait que le point terminal fournit plus d’information sur l’utilisateur ? C’est ce que fait Arjun. Il trouve les paramètres HTTP valables avec un énorme dictionnaire par défaut de 25 890 noms de paramètres. Cela prend moins de 10 secondes pour parcourir cette très longue liste tout en ne faisant que 50-60 requêtes sur la cible.

Quelques fonctionnalités :

  – prise en charge des requêtes GET/POST/POST-JSON/POST-XML ;
  – gestion automatique des limites de taux et de délais ;
  – exportation des résultats dans Burp Suite ou un fichier texte ou JSON ;
  – importation de cibles de Burp Suite, de fichier texte ou de fichier de
    requête brute ;
  – extraction de paramètres passive de sources externes JS ou 3 External.

Arjun est utile pour des tests de pénétration (PENTEST) et l’analyse de sécurité de réseau, servant comme OSINT.

Cette page est uniquement disponible dans les langues suivantes (Comment configurer la langue par défaut du document) :