Parsero — это цифровая поисковая собака для поиска уязвимостей на сайтах. Инструмент позволяет находить уязвимости сайтов путем анализа файла robots.txt. Давайте рассмотрим основы работы с Parsero на Kali Linux.
Еще по теме: Как найти админку сайта
Что такое Parsero
Parsero — это Python-скрипт, который читает robots.txt сайта и просматривает записи Disallow. Записи Disallow указывают поисковым системам, какие каталоги или файлы, размещенные на веб-сервере, не должны быть проиндексированы. Например, « Disallow: /portal/login" означает, что содержимое www.site.ru/portal/login не должно индексироваться такими поисковыми системами, как Google, Bing, Yahoo и т. д. Таким образом администраторы запрещают поисковым системам делиться чуствительной информацией сайта.
Но иногда эти пути, введенные в записи Disallows, напрямую доступны пользователям без использования поисковых систем, просто посетив URL и путь, а иногда они недоступны никому. Поскольку часто бывает, что администраторы пишут много запретов, и некоторые из них доступны, а некоторые нет, мы можем использовать Parsero для проверки кода состояния HTTP каждой записи Disallow, чтобы автоматически проверить, доступны ли эти директории или нет.
Кроме того, тот факт, что администратор написал robots.txt, не означает, что файлы или каталоги, указанные в записи Dissallow, не будут проиндексированы Bing, Google, Yahoo и т. д. По этой причине Parsero умеет искать в Bing контент, проиндексированный без разрешения администратора. Parsero будет проверять код состояния HTTP для каждого результата Bing.
Установка Parsero на Kali Linux
Прежде всего, необходимо установить Parsero. Не волнуйтесь, он предустановлен в полной версии Kali Linux, но если его нет, то можно просто установить его, используя следующую команду в терминале Kali Linux.
1 |
sudo apt install parsero -y |
После запроса на ввод пароля root и в течение нескольких секунд инструмент будет установлен.
Использование Parsero на Kali Linux
Прежде чем использовать Parsero на Kali Linux, давайте ознакомимся с параметрами запуска:
1 |
parsero -h |
Вышеуказанная команда отобразит справку по инструменту Parsero.
Давайте запустим его против целевого сайта:
1 |
parsero -u https://www.google.com |
Как видите, Parsero справляется с задачей и нашел какие-то каталоги.
Мы видим, что в результатах Parsero есть много красных строк, которые означают:
- 200 OK — запрос выполнен успешно.
- 403 Forbidden — сервер понял запрос, но отказывается его выполнять.
- 404 Not Found — сервер не нашел ничего, соответствующего Request-URI.
- 302 Found — запрашиваемый ресурс временно находится под другим URI (Uniform Resource Identifier).
Если необходимо получить код состояния «HTTP 200», то нужно использовать флаг -o, как показано ниже:
1 |
parsero -o -u https://www.google.com |
На следующем скрине вы увидите только коды состояния «HTTP 200».
Также если у нас есть список доменов для запуска Parsero, мы можем записать эти сайты в текстовый файл, каждый в отдельной строке.
Если у нас имеются другие цели, мы можем добавить их, как показано выше. Теперь мы можем просканировать список с помощью Parsero. Перед этим нужно указать список сайтов (файл targets.txt), который хранится на нашем рабочем столе, а также просмотреть только коды состояния «HTTP 200». Таким образом, наша команда будет выглядеть следующим образом:
1 |
parsero -o -f ~/Desktop/targets.txt |
После выполнения вышеуказанной команды Parsero начнет сканирование сайтов, указанных в списке.
По завершении сканирования Parsero выдаст подробный отчет с указанием всех найденных потенциальных уязвимостей. Нужно обратить пристальное внимание на эти данные, так как они дадут ценную информацию о том, насколько безопасен (или не очень безопасен) сайт.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как взломать сайт WordPress
- Лучшие инструменты для поиска уязвимостей сайтов
- Использование GoBuster для перебора файлов и каталогов