首页 > 其他分享 >Rad最新版本的安全工具测试

Rad最新版本的安全工具测试

时间:2022-12-16 11:24:45浏览次数:43  
标签:输出 Rad 版本 -- 指定 爬取 测试 请求

 

 

第一章. 工具简介

官方网站:https://stack.chaitin.com/tool/detail?id=2

一款专为安全扫描而生的浏览器爬虫

注(本工具需要提前装好新版本的 Chrome,否则将无法使用)

通过调用Chrome,可以智能爬取各种 Web2.0 网站,模拟人的行为进行点击、输入等,自动事件触发和表单填充,助力漏洞扫描更快一步

支持Windows,Linux,MacOS(包括M1芯片版)

支持手动登录网站后继续爬取

支持在爬取过程中对相似度高的页面进行去重,过滤静态文件、重复请求减少资源消耗

支持自由配置代理,UA等设置

支持为指定域名配置headers

支持多种输出,可选择输出域名,完整请求,JSON

支持自定义请求关键字/正则过滤,防止危险请求触发、意外登出

支持自定义并发控制,合理调配资源占用

支持自定义行为控制,限制单个页面中点击深度,点击次数、点击时间间隔、超时时间

1.使用-h查看Rad本身自带的帮助信息

 

2.--target|-t|--url|-u 该参数都可以指定扫描目标,作用一样

 

 

3.--config|-c 该参数可指定使用哪个配置文件,当未使用该参数时默认rad_config.yml

4. --text-output|-text 指定输出模式为txt,且将导出基本结果,也就是只有请求类型与请求地址。

 

5.--full-text-output|--full     指定输出模式为txt,且将导出完整请求,也就是包括了请求头与请求体。

 

 

6 --json-output|--json  指定输出模式为json,且将导出完整请求,也就是包括了请求头与请求体。

 

 

7 --http-proxy 设置代理服务器,需要注意,此处的原理为:Rad为调用起的Chrome设置了代理,而不是Rad本身使用代理

 

8 --log-level 指定输出等级,默认输出info,当级别高于info后,info将不被输出.级别分为:debug, info, warn, error, fatal

 

9.--no-banner 去掉banner信息

 

10. --wait-login 使用该参数会自动禁用无头浏览模式,开启一个浏览器供手动登录。在登录完毕后在命令行界面点击回车键继续爬取。注意需要登陆时请在配置文件中开启图片显示功能,否则会出现验证码不显示的现象

以下为登陆全流程

首先会开启一个空白界面,需要手动在地址栏输入要登陆的地址

 

 

输入账户密码后,回到命令行回车,便开始爬取

 

第二章. 后门测试

运行截图

 

流量检测

 

 

通过运行Rad进程,检测到进程发出的流量指向content-autofill.googleapis.com(172.217.160.74)

 

通过分析进程流量,检测到的流量未发现存在后门特征。

对域名进行情报分析,发现属于安全域名。

 

第三章. 沙盒检测

将Rad的可执行程序上传到沙盒平台进行检测,分析进程行为。

行为分析发现释放1个文件,属于Rad正常运行所需的配置文件。

 

网络行为分析,未发现可疑的行为

 

风险分析,诊断为“未发现风险”

 

第四章. 检测结论

通过对工具的流量分析和沙盒分析,最终确认该工具属于安全的工具,不具备后门传输和释放恶意文件的特征。

标签:输出,Rad,版本,--,指定,爬取,测试,请求
From: https://www.cnblogs.com/Hndreamer/p/16986846.html

相关文章

  • 七个步骤覆盖 API 接口测试
    接口测试作为最常用的集成测试方法的一部分,通过直接调用被测试的接口来确定系统在功能性、可靠性、安全性和性能方面是否能达到预期,有些情况是功能测试无法覆盖的,所以接口......
  • C/S架构的性能测试-软件测试知识
    很多人关心LR在C/S架构上如何实施性能测试,我想根本原因在于两个方面,一是很多时候脚本无法录制,即LR无法成功调用被测的应用程序,二是测试脚本即使录制下来,可读性不强,往往......
  • 移动APP测试用例设计的关注点-软件测试知识
    1.应用的启动和停止1.1首次启动是否出现欢迎界面,欢迎界面的停留时间合理,欢迎界面后是否正常进入应用。首次启动时间是否合理。该拉取的信息是否......
  • 软件测试的系统测试策略
    从系统测试开始产品研发流程正是计入到测试阶段1.系统测试的目标和测试对象系统测试对象:整个系统,对于手机来说,就是整机的测试,对于应用来说就是整个应用以及......
  • Spring boot controller单元测试
    工具准备测试框架依赖包<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><version>R......
  • 功能测试的几个层次
    第一个层次,初级功能测试工程师,根据功能测试用例进行功能测试,这个可能是很多同学进入测试这一行最开始干的活,这个阶段会觉得测试工作很无聊,很没有技术含量,因为工作基本上......
  • 美化模板测试
    标题一dsadasdfsadasasd打防守打法第三方s发生大幅度标题二正式服是这是大V早上的招待费GV个大概富商大贾个反的个个公司搞法高富帅搞法苟富贵发搞法苟富贵发个施工......
  • 共享文件夹实现文件版本管理,避免被篡改、丢失
    要求:1、可上传文件2、可下载文件3、不可删除、不可替换4、不可修改里面内容实现步骤如下:1、建立一个系统普通用户,例如起名为share。2、在E盘建立一个共享文件夹。3、设......
  • 信而泰ALPS 用户管理——网络测试仪实操
    本文介绍了如何在ALPS平台上Step-By-Step进行用户管理用户管理介绍设备在出厂时,提供了一个默认管理员账号,该账号为admin/admin。管理员账号除了可用于测试之外,还具有用户......
  • 无线产品出美国需做FCC-ID测试报告
    认证介绍FCC全称是FederalCommunicationsCommission,中文为美国联邦通信委员会。于1934年由COMMUNICATIONACT建立,是美国政府的一个独立机构,直接对国会负责。FCC通过控制无......