判断url是否能够访问

渗透测试进行信息收集时,大家一般会利用工具收集要测试网站的其他资产:二级域名或者目录扫描,有时候通过工具得到的资产不一定都能访问,这时候我们可以借助其他工具,来对获得的http或https url进行测试,得到能够被正常访问的资产。

  • 对于http资产,可利用站长工具的状态码判断:http://pl.soshoulu.com/webspeed.aspx 可批量进行判断,结果可批量输出

  • 对应http或https url ,可在该网站进行测试:http://www.openurls.com.cn/批量判断资产是否能够正常访问,这个网站的缺点就是结果不能批量导出。当然也可以通过Python写个脚本来实现,但是我只能写出判断HTTP的。

  • 当你拿到的ip资产为192.168.100.11/26 的形式时,怎样快速的计算IP范围呢,请移步该网站:http://tool.520101.com/wangluo/ipjisuan

  • 最近在测试app时,在夜神模拟器中安装app,配置代理,但是每次配置完代理后都会显示网络状况不佳,导致抓不到数据包,原因可能是开启了https双向认证,客户端一般使用SSl pinning 防止中间人拦截攻击,客户端在实现https请求时对于证书的校验上,如果仅仅校验是否有证书绕过签名校验是,就可以通过手机客户端安全抓包工具的证书绕过签名校验,但如果客户端做了严格的证书校验,如果不是受信任证书则无法正常进行https通信。
    关于这个问题,我也正在研究,参考的资料为:https://mp.weixin.qq.com/s/Q4XfLjuCENtaAQ35gmfglA等研究成功了在写一个详细的博客。

你可能感兴趣的:(web安全)