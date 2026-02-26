По­копав­шись в сво­ем ящи­ке инс­тру­мен­тов, я нашел нес­коль­ко жем­чужин, которы­ми решил поделить­ся. Сбор информа­ции о тар­гете, поиск скры­тых путей и сек­ретных дан­ных, ска­ниро­вание XSS и аль­тер­натива Burp.

gospider

Этот мно­гопо­точ­ный кра­улер может вытащить пол­ную струк­туру сай­та одной коман­дой. Ана­лизи­рует sitemap. xml и robots. txt . Уме­ет зап­рашивать дан­ные из Wayback Machine, Common Crawl, VirusTotal и AlienVault OTX. Ищет ссыл­ки в JS-фай­лах. Вытас­кива­ет под­домены.

С помощью это­го паука ты пос­тро­ишь мак­сималь­но пол­ную кар­ту сай­та, най­дешь инте­рес­ные пути и про­дума­ешь век­торы ата­ки. Пред­ставь, какие воз­можнос­ти откро­ются тебе, если раз­работ­чик забыл уда­лить ссыл­ку на ста­рую уяз­вимую админку?

Инс­тру­мент опен­сор­сный, можешь покопать­ся в исходни­ках в ре­пози­тории на GitHub.

Ус­танов­ка:

go install github. com/ jaeles- project/ gospider@latest

При­мер исполь­зования:

gospider -s https:/ / target -d 3 -c 20 --js --subs -o output/

Па­рамет­ры, которые могут при­годить­ся:

--cookie — исполь­зовать какую‑то спе­цифич­ную куку;

— исполь­зовать какую‑то спе­цифич­ную куку; --header — ука­зать свой заголо­вок. Нап­ример, x-middleware-subrequest при кра­улин­ге сай­та на Next.js с CVE-2025-29927 (под­робнее о ней — в моей статье);

— ука­зать свой заголо­вок. Нап­ример, при кра­улин­ге сай­та на Next.js с CVE-2025-29927 (под­робнее о ней — в моей статье); --js — искать ссыл­ки в JS-фай­лах;

— искать ссыл­ки в JS-фай­лах; --subs — собирать под­домены;

— собирать под­домены; -a — искать инфу на сто­рон­них ресур­сах (Archive.org, CommonCrawl.org и дру­гих);

— искать инфу на сто­рон­них ресур­сах (Archive.org, CommonCrawl.org и дру­гих); -o — вывес­ти в файл;

— вывес­ти в файл; -p — нас­тро­ить прок­си. При­мер: http:// localhost: 8080 .

Не­удоб­но, что отсутс­тву­ет воз­можность ука­зать файл со спис­ком прок­си, но, если твоя прок­си с ротаци­ей, впол­не хва­тит для кра­улин­га.

SecretFinder