久等了，想打算恢复公众号的更新了。

敏感的东西不能说，不敏感的又不好玩，所以干脆时间都拿去不停的测东西去了。

今天偷懒，发点无关电商的东西。

花了一点时间，重新造了个车。

软件类似御剑，增加了一些我需要的功能。具体我详细解释下。

主要应付场景：CDN，网站迁移服务器但是旧服务器还没关闭。

我以百度搜索引擎为例 

直接探测文件，可能任何敏感文件都不在

当启用了强制IP功能后，我设置到我自己的服务器IP上，并且放置了一个baidu.zip

那么这样子 结果就出来了。

这样就避免了我们找到网址真实解析IP后，还得修改本地host再去做扫描的问题。

类型校对

软件对应文件夹 Config文件夹内的mimetype.txt

打开后可以看到以下内容

分别是文件后缀 和对应的types。

分别对应浏览器这个功能：

而虚假的返回结果，类型匹配不上，比如如下：

启用这个功能，这样我们就可以精确的获取到结果文件，是否是真实的，而非别人伪造的返回结果。

30X状态跟进

这里依旧以百度为例

http://www.baidu.com/11.zip 正常访问会有个307代码

然后再跳转到对应一个页面

最后返回https://www.baidu.com/search/error.html

这个文件代码，再根据返回的type来判断是否是zip文件

通过这样 来规避http--->https中间跳转导致的可能的漏洞文件遗漏。

下载地址

https://bbs.affadsense.com/t/1476.html