GBounty：一款快速可靠高度可定制的Web安全漏洞检测工具

科技 2024-11-12 19:11 上海

关于GBounty

GBounty是一款快速可靠高度可定制的Web安全漏洞检测工具，该工具基于Golang开发，旨在帮助安全测试人员有效识别 Web 应用程序中的潜在问题，并提升Web应用的安全性。

除此之外，GBounty还提供了一个专门的存储库，其中保存了安全研究人员和工程师贡献的各种类型的 Web 漏洞配置文件。

工具要求

Go v1.21+环境

工具安装

由于该工具基于Golang开发，因此我们首先需要在本地设备上安装并配置好最新版本的Golang环境。

发布版本

直接访问该项目的Releases页面即可下载预编译的最新版本GBounty。

使用 Go 安装

运行以下命令可以直接安装正在开发的最新版本GBounty：

go install -v github.com/bountysecurity/gbounty/cmd/gbounty@main

源码获取

除此之外，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：


git clone https://github.com/BountySecurity/gbounty.git

工具使用

下列命令即可查看工具的帮助信息：


gbounty -h

帮助信息如下：

INFO  GBounty is a multi-step web scanner that uses web vulnerability profiles
 INFO  GBounty profiles can be found at: https://github.com/BountySecurity/gbounty-profiles
 
 
Usage:
  gbounty [flags]
 
Flags:
  -h, --help 显示帮助信息
  --update 更新版本和配置
  --update-app 更新版本
  --update-profiles 更新配置
  --force-update-profiles 强制更新配置文件
 
TARGET INPUT:
  -u, --url value 目标url
  -uf, --urls-file string url列表文件，每行一个url
  -rf, --requests-file string 请求文件地址
 
DEBUG OPTIONS:
  -v, --verbose verbose模式
  -vv, --verbose-extra verbose模式记录额外数据
  -vvv, --verbose-all verbose模式记录全部数据
  -vout, --verbose-output string verbose模式并输出字符串

工具运行演示

gbounty -u https://example.org -X POST -d "param1=value1&param2=value2" -t XSS -r 20 -a -o /tmp/results.json --json

gbounty --urls-file urls.txt -c 200 -r 10 -p /tmp/gbounty-profiles --silent --markdown -o /tmp/results.md

gbounty --raw-request raw_1.txt --raw-request raw_2.txt --blind-host yourblindhost.net

gbounty --requests-file requests.zip -r 150 --proxy-address=127.0.0.1:8080 -o /tmp/results.txt --all

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

GBounty：

https://github.com/BountySecurity/gbounty

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复「加群」，申请加入群聊】

https://github.com/bountysecurity/gbounty-profiles

http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651306849&idx=4&sn=9d788c79af176fa94e4c520128f7c219

FreeBuf

中国网络安全行业门户

最新文章

美国饮用水系统存在300多个漏洞，影响1.1亿人

VMware vCenter Server远程代码执行漏洞正被黑客广泛利用

关键的WordPress插件漏洞导致超400万网站暴露

如何使用flare-floss自动从恶意软件中提取混淆字符串

Palo Alto Networks确认0Day漏洞正在被黑客利用

谷歌Gemini AI 聊天机器人不断让用户“去死”

黑客在瑞士发放纸质钓鱼邮件来传播恶意软件

RustiveDump：一款基于NT系统调用的LSASS内存转储工具

重要更新！ChatGPT允许访问底层沙箱操作系统

国家密码管理局发布《关键信息基础设施商用密码使用管理规定（征求意见稿）》

如何使用Locksmith查找和修复AD证书服务中的错误安全配置

打补丁要快！0Day漏洞正在被黑客广泛利用

FreeBuf周报 | AI图像生成模型可能会泄露敏感指令；美国零售商泄露5700万用户数据

研究人员警告 AI 图像生成模型可能会泄露敏感指令

Velociraptor：一款终端节点可视化与数据收集工具

比特币价格再创新高，“支付通道顺畅”将助长网络犯罪？

谷歌：警惕越来越多利用AI的网络欺诈行为

新型 SteelFox 恶意软件冒充流行软件窃取浏览器数据

kernel-hardening-checker：一款针对Linux内核的安全加固工具

与哈马斯有关的黑客“疯狂”攻击色列实体

B2B数据聚合公司DemandScience泄露超1亿人数据

朝鲜黑客创建经过安全验证的恶意软件攻击macOS系统

dnstwist：一款针对域名安全的多功能检测工具

《2024年中国数据安全企业全景图》正式发布

安全是最大的豪华：赛力斯集团首届网络安全白帽沙龙圆满举办

FACT_core：一款固件安全分析和比较工具

月神SRC漏洞挖掘第三期新增大招

FreeBuf年度评选 | WitAwards 2024 获奖名单现场揭晓

美国零售商Hot Topic泄露5700万用户数据

GBounty：一款快速可靠高度可定制的Web安全漏洞检测工具

迈向安全服务化，探索网安行业和社区发展新动能 | FCIS 2024网络安全创新大会隆重举行

CSO：混合云安全挑战到了“至暗时刻”

涉及多家头部企业，Veeam数据管理产品成为勒索软件目标

如何使用Slhasher批量执行VirusTotal哈希数据检索

马自达被曝存在多个漏洞，黑客可执行任意代码

报告显示，诈骗者一年内窃取超过 1 万亿美元

CloudShovel：一款针对AMI的敏感信息泄露检测与保护工具

FreeBuf周报 | 谷歌AI大模型首次找到0Day漏洞；诺基亚被黑客攻击泄露大量数据

乌克兰人遇到 GPS 欺骗：手机显示错误的位置和时间

如何使用Slack Watchman防止Slack泄露敏感数据

明天见 | FCIS 2024网络安全创新大会

FCIS 2024赛力斯集团网络安全白帽沙龙

利用ZIP串联文件策略，攻击者对Windows用户传播恶意软件

SCAred：一款高级侧信道安全分析框架

黑客可以随意访问EA公司7亿用户账号

谷歌云将在2025年底强制实施多因素身份验证

EVTX：一款针对Windows EVTX事件日志的快速安全解析工具

做兼职，搞副业 | 知识大陆「项目合伙人」招募

Ollama AI模型发现六大漏洞，能导致DoS攻击、模型中毒

热门摄像头曝零日漏洞，黑客借此入侵政府部门

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉