GBounty是一款快速可靠高度可定制的Web安全漏洞检测工具,该工具基于Golang开发,旨在帮助安全测试人员有效识别 Web 应用程序中的潜在问题,并提升Web应用的安全性。
除此之外,GBounty还提供了一个专门的存储库,其中保存了安全研究人员和工程师贡献的各种类型的 Web 漏洞配置文件。
Go v1.21+环境
由于该工具基于Golang开发,因此我们首先需要在本地设备上安装并配置好最新版本的Golang环境。
直接访问该项目的【Releases页面】即可下载预编译的最新版本GBounty。
运行以下命令可以直接安装正在开发的最新版本GBounty:
go install -v github.com/bountysecurity/gbounty/cmd/gbounty@main
除此之外,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/BountySecurity/gbounty.git
下列命令即可查看工具的帮助信息:
gbounty -h
帮助信息如下:
INFO GBounty is a multi-step web scanner that uses web vulnerability profiles INFO GBounty profiles can be found at: https://github.com/BountySecurity/gbounty-profiles Usage: gbounty [flags] Flags: -h, --help 显示帮助信息 --update 更新版本和配置 --update-app 更新版本 --update-profiles 更新配置 --force-update-profiles 强制更新配置文件 TARGET INPUT: -u, --url value 目标url -uf, --urls-file string url列表文件,每行一个url -rf, --requests-file string 请求文件地址 DEBUG OPTIONS: -v, --verbose verbose模式 -vv, --verbose-extra verbose模式记录额外数据 -vvv, --verbose-all verbose模式记录全部数据 -vout, --verbose-output string verbose模式并输出字符串
gbounty -u https://example.org -X POST -d "param1=value1¶m2=value2" -t XSS -r 20 -a -o /tmp/results.json --json
gbounty --urls-file urls.txt -c 200 -r 10 -p /tmp/gbounty-profiles --silent --markdown -o /tmp/results.md
gbounty --raw-request raw_1.txt --raw-request raw_2.txt --blind-host yourblindhost.net
gbounty --requests-file requests.zip -r 150 --proxy-address=127.0.0.1:8080 -o /tmp/results.txt --all
本项目的开发与发布遵循MIT开源许可协议。
GBounty:【GitHub传送门】