كيفية استخدام أداة ParamSpider — لبرنامج الجوائز الأمنية (Bug Bounty)

GenTiL
2 min readJun 1, 2024

--

ما هو ParamSpider؟
ParamSpider هي أداة متعددة الاستخدامات مصممة للعثور على عناوين URL مع معلمات من مصادر مختلفة مثل صفحات الويب، وملفات JavaScript، وواجهات برمجة التطبيقات (APIs). من خلال استخراج هذه العناوين URL، يمكن لصيادي الجوائز الأمنية التركيز على الثغرات المعتمدة على المعلمات مثل Cross-Site Scripting (XSS)، وSQL Injection (SQLi)، والتوجيه المفتوح (Open Redirects).

ميزات ParamSpider
استخراج شامل لعناوين الـURL: يقوم باستخراج عناوين URL مع المعلمات من مجموعة متنوعة من المصادر.
قابلية التخصيص: يتيح للمستخدمين تحديد النطاقات وتخصيص عمق البحث.
التكامل: يمكن دمجه مع أدوات أخرى للمسح والاختبار التلقائي.

عملية التثبيت
عملية تثبيت ParamSpider بسيطة. اتبع هذه الخطوات للبدء:

استنساخ المستودع:

git clone https://github.com/devanshbatham/ParamSpider

انتقال إلى الدليل:

cd ParamSpider

تثبيت الوابثات المطلوبة:

pip3 install -r requirements.txt

استخدام ParamSpider
بمجرد التثبيت، يمكنك بدء استخدام ParamSpider للعثور على عناوين URL مع المعلمات. فيما يلي بعض السيناريوهات الشائعة للاستخدام:

الاستخدام الأساسي
لتشغيل ParamSpider لنطاق معين، استخدم الأمر التالي:

python3 paramspider.py -d example.com

سيقوم هذا الأمر بإستخراج عناوين URL مع المعلمات من النطاق المحدد.

تخصيص عمق البحث
يمكنك تخصيص عمق البحث باستخدام العلم -l. على سبيل المثال، لتعيين عمق البحث إلى 3:

python3 paramspider.py -d example.com -l 3

حفظ الناتج في ملف
لحفظ العناوين URL المستخرجة في ملف، استخدم العلم -o:

python3 paramspider.py -d example.com -o output.txt

تضمين النطاقات الفرعية
إذا كنت ترغب في تضمين النطاقات الفرعية في البحث الخاص بك، استخدم العلم -s:

python3 paramspider.py -d example.com -s

مثال عملي
دعونا نتناول مثالًا عمليًا لاستخدام ParamSpider لصيد الثغرات في برنامج الجوائز الأمنية. لنفترض أنك تستهدف موقعًا ويب بعنوان example.com. إليك كيف يمكنك استخدام ParamSpider لاستخراج عناوين URL مع المعلمات:

تشغيل ParamSpider:
python3 paramspider.py -d example.com -o urls.txt
مراجعة الناتج:
افتح ملف urls.txt لمراجعة العناوين URL المستخرجة. ابحث عن العناوين URL مع المعلمات التي قد تكون عرضة للهجمات.

اختبار الثغرات:
استخدم أدوات أخرى مثل Burp Suite أو OWASP ZAP لاختبار هذه العناوين URL على الثغرات الشائعة مثل XSS وSQLi والتوجيه المفتوح.

المشاكل الشائعة وإصلاحها
ParamSpider هي أداة قوية لصيادي الجوائز الأمنية، تبسيط عملية العثور على عناوين URL المعلمة. من خلال استغلال ميزاتها، يمكنك تسريع عملية اكتشاف الثغرات وتعزيز كفاءة صيد الجوائز الأمنية الخاصة بك. تذكر استخدام هذه الأداة بمسؤولية وأخلاقية، والالتزام بقواعد وإرشادات برنامج جوائز الثغرات الخاص بالهدف الخاص بك.

--

--