关于GBounty

GBounty是一款快速可靠高度可定制的Web安全漏洞检测工具，该工具基于Golang开发，旨在帮助安全测试人员有效识别 Web 应用程序中的潜在问题，并提升Web应用的安全性。

除此之外，GBounty还提供了一个专门的存储库，其中保存了安全研究人员和工程师贡献的各种类型的 Web 漏洞配置文件。

工具要求

Go v1.21+环境

工具安装

由于该工具基于Golang开发，因此我们首先需要在本地设备上安装并配置好最新版本的Golang环境。

发布版本

直接访问该项目的【Releases页面】即可下载预编译的最新版本GBounty。

使用 Go 安装

运行以下命令可以直接安装正在开发的最新版本GBounty：

go install -v github.com/bountysecurity/gbounty/cmd/gbounty@main

源码获取

除此之外，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/BountySecurity/gbounty.git

工具使用

下列命令即可查看工具的帮助信息：

gbounty -h

帮助信息如下：

INFO  GBounty is a multi-step web scanner that uses web vulnerability profiles

 INFO  GBounty profiles can be found at: https://github.com/BountySecurity/gbounty-profiles

 

 

Usage:

  gbounty [flags]

 

Flags:

  -h, --help 显示帮助信息

  --update 更新版本和配置

  --update-app 更新版本

  --update-profiles 更新配置

  --force-update-profiles 强制更新配置文件

 

TARGET INPUT:

  -u, --url value 目标url

  -uf, --urls-file string url列表文件，每行一个url

  -rf, --requests-file string 请求文件地址

 

DEBUG OPTIONS:

  -v, --verbose verbose模式

  -vv, --verbose-extra verbose模式记录额外数据

  -vvv, --verbose-all verbose模式记录全部数据

  -vout, --verbose-output string verbose模式并输出字符串

工具运行演示

gbounty -u https://example.org -X POST -d "param1=value1&param2=value2" -t XSS -r 20 -a -o /tmp/results.json --json

gbounty --urls-file urls.txt -c 200 -r 10 -p /tmp/gbounty-profiles --silent --markdown -o /tmp/results.md

gbounty --raw-request raw_1.txt --raw-request raw_2.txt --blind-host yourblindhost.net

gbounty --requests-file requests.zip -r 150 --proxy-address=127.0.0.1:8080 -o /tmp/results.txt --all

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

GBounty：【GitHub传送门】

参考资料

https://github.com/bountysecurity/gbounty-profiles