এটি হল স্কিপফিশ কমান্ড যা আমাদের একাধিক বিনামূল্যের অনলাইন ওয়ার্কস্টেশন যেমন উবুন্টু অনলাইন, ফেডোরা অনলাইন, উইন্ডোজ অনলাইন এমুলেটর বা MAC OS অনলাইন এমুলেটর ব্যবহার করে OnWorks ফ্রি হোস্টিং প্রদানকারীতে চালানো যেতে পারে।
কার্যক্রম:
NAME এর
skipfish - ওয়েব অ্যাপ্লিকেশন নিরাপত্তা স্ক্যানার
সাইনোপিসিস
স্কিপফিশ [অপশন] -o আউটপুট-ডিরেক্টরি [ start-url | @url-ফাইল [ start-url2 ... ]]
বর্ণনাঃ
স্কিপফিশ একটি সক্রিয় ওয়েব অ্যাপ্লিকেশন নিরাপত্তা পুনঃসূচনা টুল. এটি একটি প্রস্তুত করে
টার্গেট করা সাইটের জন্য ইন্টারেক্টিভ সাইটম্যাপ একটি পুনরাবৃত্ত ক্রল এবং
অভিধান-ভিত্তিক প্রোব। ফলস্বরূপ মানচিত্রটি তারপর a থেকে আউটপুট সহ টীকা করা হয়
সক্রিয় (কিন্তু আশা করি অ-ব্যহত) নিরাপত্তা চেক সংখ্যা. চূড়ান্ত প্রতিবেদন
টুল দ্বারা উত্পন্ন পেশাদার ওয়েব অ্যাপ্লিকেশনের জন্য একটি ভিত্তি হিসাবে পরিবেশন করা হয়
নিরাপত্তা মূল্যায়ন।
বিকল্প সংক্ষিপ্তসার
প্রমাণীকরণ এবং অ্যাক্সেস বিকল্প:
-একজন ব্যবহারকারী:পাস - নির্দিষ্ট HTTP প্রমাণীকরণ শংসাপত্র ব্যবহার করুন
-এফ হোস্ট=আইপি - ভান করুন যে 'হোস্ট' 'আইপি'-তে সংকল্প করে
-C name=val - সমস্ত অনুরোধে একটি কাস্টম কুকি যোগ করুন
-H name=val - সমস্ত অনুরোধে একটি কাস্টম HTTP হেডার যুক্ত করুন
-b (i|f|p) - MSIE/ Firefox/ iPhone এর সাথে সামঞ্জস্যপূর্ণ হেডার ব্যবহার করুন
-এন - কোনো নতুন কুকি গ্রহণ করবেন না
ক্রল সুযোগ বিকল্প:
-d সর্বাধিক_গভীরতা - সর্বাধিক ক্রল গাছের গভীরতা (16)
-c max_child - নোড প্রতি সূচকে সর্বাধিক শিশু (512)
-x max_desc - প্রতি শাখায় সূচকের সর্বোচ্চ বংশধর (8192)
-r r_limit - পাঠানোর জন্য সর্বাধিক মোট অনুরোধের সংখ্যা (100000000)
-p ক্রল% - নোড এবং লিঙ্ক ক্রল সম্ভাবনা (100%)
-q হেক্স - প্রদত্ত বীজের সাথে সম্ভাব্য স্ক্যান পুনরাবৃত্তি করুন
-I স্ট্রিং - শুধুমাত্র 'স্ট্রিং' এর সাথে মিলে যাওয়া ইউআরএল অনুসরণ করুন
-X স্ট্রিং - 'স্ট্রিং' এর সাথে মিলে যাওয়া ইউআরএলগুলি বাদ দিন
-K স্ট্রিং - 'স্ট্রিং' নামের প্যারামিটারগুলিকে ফাজ করবেন না
-D ডোমেইন - ক্রল ক্রস-সাইট লিঙ্ক অন্য ডোমেনে
-বি ডোমেইন - বিশ্বাস, কিন্তু ক্রল না, অন্য ডোমেইন
-Z - 5xx অবস্থানে নামবেন না
-O - কোনো ফর্ম জমা দেবেন না
-P - নতুন লিঙ্ক খুঁজতে HTML, ইত্যাদি পার্স করবেন না
প্রতিবেদনের বিকল্পগুলি:
-o dir - নির্দিষ্ট ডিরেক্টরিতে আউটপুট লিখুন (প্রয়োজনীয়)
-M - মিশ্র বিষয়বস্তু / নন-SSL পাসওয়ার্ড সম্পর্কে সতর্কবার্তা লগ করুন
-ই - সমস্ত ক্যাশিং অভিপ্রায় অমিল লগ করুন৷
-U - দেখা সমস্ত বহিরাগত URL এবং ই-মেইল লগ করুন
-Q - রিপোর্টে ডুপ্লিকেট নোড সম্পূর্ণভাবে দমন করুন
-u - শান্ত থাকুন, রিয়েলটাইম অগ্রগতির পরিসংখ্যান অক্ষম করুন
অভিধান পরিচালনার বিকল্প:
-W শব্দ তালিকা - একটি নির্দিষ্ট পঠন-লিখতে শব্দ তালিকা ব্যবহার করুন (প্রয়োজনীয়)
-এস শব্দ তালিকা - একটি সম্পূরক পঠনযোগ্য শব্দ তালিকা লোড করুন
-L - সাইটের জন্য নতুন কীওয়ার্ড স্বয়ংক্রিয়ভাবে শিখবেন না
-Y - ডিরেক্টরি ব্রুট-ফোর্সে এক্সটেনশনগুলিকে ফাজ করবেন না
-আর বয়স - শুদ্ধ শব্দগুলি আগে 'এজ' স্ক্যানের চেয়ে বেশি হিট করেছে
-T name=val - নতুন ফর্ম অটো-ফিল নিয়ম যোগ করুন
-G max_guess - রাখার জন্য সর্বাধিক সংখ্যক কীওয়ার্ড অনুমান (256)
কর্মক্ষমতা সেটিংস:
-l max_req - প্রতি সেকেন্ডে সর্বোচ্চ অনুরোধ (0)
-g max_conn - সর্বাধিক একযোগে TCP সংযোগ, বিশ্বব্যাপী (40)
-m host_conn - সর্বোচ্চ একযোগে সংযোগ, প্রতি লক্ষ্য আইপি (10)
-f max_fail - পরপর HTTP ত্রুটির সর্বাধিক সংখ্যা (100)
-t req_tmout - মোট অনুরোধের প্রতিক্রিয়ার সময়সীমা (20 সেকেন্ড)
-w rw_tmout - পৃথক নেটওয়ার্ক I/O টাইমআউট (10 সেকেন্ড)
-i idle_tmout - নিষ্ক্রিয় HTTP সংযোগে সময়সীমা (10 s)
-s s_limit - প্রতিক্রিয়া আকার সীমা (200000 B)
-e - রিপোর্ট করার জন্য বাইনারি প্রতিক্রিয়া রাখবেন না
অন্যান্য সেটিংস্:
-k সময়কাল - প্রদত্ত সময়কাল h:m:s পরে স্ক্যান করা বন্ধ করুন
--config ফাইল - নির্দিষ্ট কনফিগারেশন ফাইল লোড করুন
প্রমাণীকরণ এবং অ্যাক্সেস
কিছু সাইটের প্রমাণীকরণ প্রয়োজন, এবং skipfish বিভিন্ন উপায়ে এটি সমর্থন করে। প্রথম
মৌলিক HTTP প্রমাণীকরণ আছে, যার জন্য আপনি -A পতাকা ব্যবহার করতে পারেন। দ্বিতীয়, এবং আরো
সাধারণ, একটি ওয়েব অ্যাপ্লিকেশন স্তরে প্রমাণীকরণ প্রয়োজন যে সাইট. এই সাইটগুলির জন্য,
সর্বোত্তম পদ্ধতি হল প্রমাণীকৃত সেশন কুকিজ ক্যাপচার করা এবং সেগুলিকে স্কিপফিশে প্রদান করা
-C পতাকা ব্যবহার করে (যদি প্রয়োজন হয় একাধিক)। শেষ পর্যন্ত, আপনাকে রক্ষা করার জন্য কিছু প্রচেষ্টা করতে হবে
-X এর সাথে লগআউট লিঙ্কগুলি বাদ দিয়ে এবং/অথবা নতুন প্রত্যাখ্যান করার মাধ্যমে সেশনটি ধ্বংস হওয়া থেকে
-N সহ কুকিজ।
-F/--হোস্ট
এই পতাকা ব্যবহার করে, আপনি ´ সেট করতে পারেনহোস্ট:একটি কাস্টম ম্যাপিং সংজ্ঞায়িত করতে হেডার মান
একটি হোস্ট এবং একটি আইপির মধ্যে (সমাধানকারীকে বাইপাস করে)। এই বৈশিষ্ট্যটি বিশেষ করে
এখনও চালু হয়নি বা প্রয়োজনীয় DNS নেই এমন লিগ্যাসি পরিষেবাগুলির জন্য দরকারী৷
এন্ট্রি।
-H/--হেডার
আপনার HTTP অনুরোধগুলি কাস্টমাইজ করার ক্ষেত্রে, আপনি -H বিকল্পটিও ব্যবহার করতে পারেন
কোনো অতিরিক্ত, অ-মানক হেডার সন্নিবেশ করান। এই পতাকা এছাড়াও ডিফল্ট অনুমতি দেয়
হেডার ওভাররাইট করা হবে।
-C/--কুকি
এই পতাকাটি স্কিপফিশ HTTP অনুরোধে একটি কুকি যোগ করতে ব্যবহার করা যেতে পারে; এই
বিশেষ করে সেশন কুকি প্রদান করে প্রমাণীকৃত স্ক্যান সঞ্চালনের জন্য দরকারী।
এটি করার সময়, মনে রাখবেন যে কিছু ইউআরএল (যেমন/লগআউট) আপনার ধ্বংস করতে পারে
সেশন; আপনি দুটি উপায়ে এটি মোকাবেলা করতে পারেন: -N বিকল্পটি ব্যবহার করে, যার কারণ হয়
কুকি সেট বা মুছে ফেলার প্রচেষ্টা প্রত্যাখ্যান করার জন্য স্ক্যানার; অথবা -এক্স বিকল্পটি ব্যবহার করে
লগআউট URLগুলি বাদ দিন।
-বি/--ব্যবহারকারী-এজেন্ট
এই পতাকা ব্যবহারকারী-এজেন্টকে কোথায় নির্দিষ্ট করার অনুমতি দেয়i´ মানে ইন্টারনেট
অনুসন্ধানকারীfফায়ারফক্স এবং 'এর জন্যpআইফোনের জন্য। এই পতাকা ব্যবহার করা সুপারিশ করা হয়
ক্ষেত্রে লক্ষ্য সাইট ব্যবহারকারী-এজেন্টের উপর ভিত্তি করে ভিন্ন আচরণ দেখায় (যেমন কিছু
সাইটগুলি মোবাইল এবং ডেস্কটপ ক্লায়েন্টদের জন্য বিভিন্ন টেমপ্লেট ব্যবহার করে)।
-N/--প্রত্যাখ্যান-কুকিজ
এই পতাকা স্কিপফিশকে সাইট দ্বারা সেট করা কুকিজকে উপেক্ষা করে। এই
স্টেটলেস পরীক্ষা কার্যকর করতে সাহায্য করে এবং ´-C' এর সাথে সেট করা কুকিগুলিও প্রতিরোধ করে
ওভাররাইট না
-এ/--লেখা
মৌলিক HTTP প্রমাণীকরণ প্রয়োজন এমন সাইটগুলির জন্য, আপনি নির্দিষ্ট করতে এই পতাকা ব্যবহার করতে পারেন
আপনার শংসাপত্র।
--প্রমাণ-রূপ
ফর্ম প্রমাণীকরণের সাথে ব্যবহার করার জন্য লগইন ফর্ম। ডিফল্টভাবে স্কিপফিশ ব্যবহার করবে
শংসাপত্র জমা দেওয়ার জন্য ফর্মের কর্ম URL। যদি লগইন ডেটা অনুপস্থিত থাকে
ফর্ম URL এ পাঠানো হয়. যদি এটি ভুল হয়, আপনি ফর্ম হ্যান্ডলার URL সেট করতে পারেন
--auth-form-target সহ .
--প্রমাণকারী-ব্যবহারকারী
ফর্ম প্রমাণীকরণের সময় যে ব্যবহারকারীর নাম ব্যবহার করা হবে। স্কিপফিশ সনাক্ত করার চেষ্টা করবে
ব্যবহার করার জন্য সঠিক ফর্ম ক্ষেত্র কিন্তু যদি এটি তা করতে ব্যর্থ হয় (এবং একটি ত্রুটি দেয়), তাহলে আপনি
--auth-user-field সহ ফর্ম ক্ষেত্রের নাম নির্দিষ্ট করতে পারেন।
--প্রমাণ-পাস
ফর্ম প্রমাণীকরণের সময় যে পাসওয়ার্ড ব্যবহার করা হবে। লেখক-ব্যবহারকারীর অনুরূপ, ফর্ম
ক্ষেত্রের নাম (ঐচ্ছিকভাবে) --auth-pass-field দিয়ে সেট করা যেতে পারে।
--auth-verify-url
এই URLটি স্কিপফিশকে প্রমাণীকরণ সফল হয়েছে কিনা তা যাচাই করতে দেয়। এই
একটি URL প্রয়োজন যেখানে বেনামী এবং প্রমাণীকৃত অনুরোধের উত্তর a দিয়ে দেওয়া হয়৷
ভিন্ন প্রতিক্রিয়া।
ক্রলিং সুযোগ রয়েছে
কিছু সাইট একটি যুক্তিসঙ্গত সময়সীমার মধ্যে স্ক্যান করার জন্য খুব বড় হতে পারে। যদি সাইটের বৈশিষ্ট্যগুলি ভাল হয়-
সংজ্ঞায়িত tarpits - উদাহরণস্বরূপ, একটি অংশ হিসাবে 100,000 প্রায় অভিন্ন ব্যবহারকারী প্রোফাইল
সামাজিক নেটওয়ার্ক - এই নির্দিষ্ট অবস্থানগুলি -X বা -S দিয়ে বাদ দেওয়া যেতে পারে৷ অন্যান্য ক্ষেত্রে,
আপনাকে অন্যান্য সেটিংস অবলম্বন করতে হতে পারে: -d একটি নির্দিষ্ট সংখ্যক ক্রল গভীরতা সীমাবদ্ধ করে
সাবডিরেক্টরি; -c প্রতি ডিরেক্টরিতে শিশুদের সংখ্যা সীমিত করে; -x মোট সংখ্যা সীমাবদ্ধ করে
ক্রল গাছের শাখা প্রতি বংশধর; এবং -r পাঠানোর জন্য মোট অনুরোধের সংখ্যা সীমিত করে
একটি স্ক্যানে
-d/--সর্বোচ্চ-ক্রল-গভীরতা
ক্রল করা সাবডিরেক্টরিগুলির গভীরতা সীমিত করুন (উপরে দেখুন)।
-c/--max-crawl-child
প্রতি ডিরেক্টরিতে আমরা ক্রল করি এমন সাবডিরেক্টরির পরিমাণ সীমিত করুন (উপরে দেখুন)।
-x/--সর্বোচ্চ-ক্রল-বংশধর
ক্রল গাছের শাখা প্রতি বংশধরের মোট সংখ্যা সীমিত করুন (উপরে দেখুন)।
-r/--সর্বোচ্চ-অনুরোধ-মোট
অনুরোধের সর্বাধিক সংখ্যা এই পতাকা দিয়ে সীমিত করা যেতে পারে.
-p/--ক্রল-সম্ভাব্যতা <0-100>
1 এবং 100% এর মধ্যে একটি শতাংশ নির্দিষ্ট করে, ক্রলারকে বলা সম্ভব
সমস্ত লিঙ্কের 100% এর কম অনুসরণ করতে এবং সমস্ত অভিধানের 100% এরও কম চেষ্টা করে দেখুন
এন্ট্রি এটি - স্বাভাবিকভাবেই - একটি স্ক্যানের সম্পূর্ণতা সীমিত করে, তবে বেশিরভাগের বিপরীতে
অন্যান্য সেটিংস, এটি একটি ভারসাম্যপূর্ণ, অ-নির্ধারক পদ্ধতিতে তা করে। এটা অত্যন্ত
আপনি যখন সময়-সীমা সেট আপ করছেন তখন দরকারী, কিন্তু পর্যায়ক্রমিক মূল্যায়ন আপনার
পরিকাঠামো।
-q/--বীজ
এই পতাকা একটি নির্দিষ্ট মান ক্রলারের জন্য প্রাথমিক র্যান্ডম বীজ সেট করে। এই
ফলাফলের তুলনা করার জন্য পূর্ববর্তী স্ক্যানটি সঠিকভাবে পুনরুত্পাদন করতে ব্যবহার করা যেতে পারে। এলোমেলোতা হল
-p মোডে সবচেয়ে বেশি নির্ভর করে, তবে আরও কয়েকটি স্ক্যানকে প্রভাবিত করে
ব্যবস্থাপনা সিদ্ধান্ত।
-I/--অন্তর্ভুক্ত-স্ট্রিং
এই পতাকাটির সাহায্যে, আপনি স্কিপফিশকে বলতে পারেন শুধুমাত্র একটি মেলে এমন URL গুলিকে ক্রল করতে এবং পরীক্ষা করতে৷
নির্দিষ্ট স্ট্রিং এটি শুধুমাত্র দ্বারা একটি স্ক্যানের সুযোগকে সংকুচিত করতে সাহায্য করতে পারে
একটি ওয়েব সাইটের কিছু অংশকে সাদা তালিকাভুক্ত করা (যেমন -I/shop)।
-X/--বাদ-স্ট্রিং
-X বিকল্পটি স্ক্যান থেকে ফাইল / ডিরেক্টরি বাদ দিতে ব্যবহার করা যেতে পারে। এই
সেশন সমাপ্তি এড়াতে (যেমন/লগআউট বাদ দিয়ে) বা শুধুমাত্র জন্য দরকারী
স্ট্যাটিক কন্টেন্ট ডিরেক্টরি যেমন /icons/, /doc/, বাদ দিয়ে আপনার স্ক্যানের গতি বাড়ানো
/ম্যানুয়াল/, এবং অন্যান্য স্ট্যান্ডার্ড, এই লাইন বরাবর জাগতিক অবস্থান।
-K/--skip-প্যারামিটার
এই পতাকা আপনাকে প্যারামিটারের নাম নির্দিষ্ট করতে দেয় যাতে ফাজ না হয়। (উপকারী
যে অ্যাপ্লিকেশনগুলি ইউআরএলে সেশন আইডি রাখে, শব্দ কমাতে)।
-D/--অন্তর্ভুক্ত-ডোমেন
পরীক্ষার জন্য ইন-স্কোপ হতে আপনাকে অতিরিক্ত হোস্ট বা ডোমেন নির্দিষ্ট করার অনুমতি দেয়। দ্বারা
ডিফল্ট, কমান্ড-লাইন URL-এ উপস্থিত সমস্ত হোস্ট তালিকায় যোগ করা হয় - কিন্তু
আপনি এই নিয়মগুলি প্রসারিত করতে -D ব্যবহার করতে পারেন। এর ফল হবে ক্রলার
এই অতিরিক্ত হোস্টের দিকে নির্দেশ করে এমন লিঙ্ক এবং পরীক্ষার লিঙ্কগুলি অনুসরণ করবে।
-বি/--ট্রাস্ট-ডোমেন
কিছু ক্ষেত্রে, আপনি আসলে একটি তৃতীয় পক্ষের ডোমেন ক্রল করতে চান না, কিন্তু আপনি
ক্রস-ডোমেন বিষয়বস্তু নিয়ে চিন্তা না করার জন্য সেই ডোমেনের মালিককে যথেষ্ট বিশ্বাস করুন
যে অবস্থান থেকে অন্তর্ভুক্তি. সতর্কতা দমন করতে, আপনি -B বিকল্পটি ব্যবহার করতে পারেন
-Z/--ছাড়া-ত্রুটি-পৃষ্ঠা
একটি ত্রুটি 5XX দেয় এমন পৃষ্ঠা / ডিরেক্টরিগুলিতে ক্রল করবেন না৷
-ও/--নো-ফর্ম-সাবমিট
এই পতাকা ব্যবহার করলে স্ক্যান করার সময় ফর্মগুলি উপেক্ষা করা হবে৷
-পি/-না-এইচটিএমএল-পার্সিং
এই পতাকা লিঙ্ক নিষ্কাশন অক্ষম করবে এবং কার্যকরভাবে ক্রলিং অক্ষম করবে। -পি ব্যবহার করে
আপনি যখন একটি নির্দিষ্ট URL পরীক্ষা করতে চান বা যখন আপনি skipfish খাওয়াতে চান তখন এটি কার্যকর
একটি বহিরাগত ক্রলারের মাধ্যমে সংগ্রহ করা URLগুলির একটি তালিকা৷
পরীক্ষামূলক সুযোগ রয়েছে
--চেক
পরীক্ষামূলক: ক্রলার ইনজেকশন পরীক্ষাগুলি প্রদর্শন করে। আউটপুট সূচক দেখায়
নম্বর (--চেক-টগলের জন্য দরকারী), চেকের নাম এবং চেকটি কিনা
সক্ষম করা হয়েছে।
--চেক-টগল
পরীক্ষামূলক: প্রতিটি ইনজেকশন পরীক্ষা এই পতাকা ব্যবহার করে সক্ষম/অক্ষম করা যেতে পারে। হিসাবে
মান, আপনাকে চেক নম্বর প্রদান করতে হবে যা দিয়ে প্রাপ্ত করা যেতে পারে
--পতাকা পরীক্ষা করে। একাধিক চেক একটি কমা বিভক্ত মানের মাধ্যমে টগল করা যেতে পারে (যেমন
--চেক-টগল 1,2)
--নো-ইনজেকশন-পরীক্ষা
পরীক্ষামূলক: এই স্ক্যানের জন্য সমস্ত ইনজেকশন পরীক্ষা অক্ষম করে এবং স্ক্যানকে সীমাবদ্ধ করে
ক্রলিং এবং, ঐচ্ছিকভাবে, ব্রুটফোর্সিং। সমস্ত স্ক্যানের মতো, আউটপুট ডিরেক্টরি
একটি pivots.txt ফাইল থাকবে। এই ফাইলটি ভবিষ্যত স্ক্যান ফিড করতে ব্যবহার করা যেতে পারে।
প্রতিবেদনের বিকল্প
-o/--আউটপুট
প্রতিবেদনটি এই অবস্থানে লেখা হবে। ডিরেক্টরি দুটির মধ্যে একটি
বাধ্যতামূলক বিকল্প এবং স্ক্যান শুরু করার পরে উপস্থিত থাকা উচিত নয়।
-M/--লগ-মিশ্র-সামগ্রী
মিশ্র বিষয়বস্তুর লগিং সক্ষম করুন. SSL- স্ক্যান করার সময় এটি অত্যন্ত সুপারিশ করা হয়-
শুধুমাত্র সাইটগুলি অ-SSL সুরক্ষিত লিঙ্কগুলির মাধ্যমে অনিরাপদ সামগ্রী অন্তর্ভুক্তি সনাক্ত করতে পারে৷
-ই/-লগ-ক্যাশে-অমিল
এটি অতিরিক্ত বিষয়বস্তু ক্যাশিং ত্রুটি রিপোর্ট করা হবে.
-U/--লগ-বাহ্যিক-urls
স্ক্যান করার সময় দেখা সমস্ত বাহ্যিক URL এবং ইমেল ঠিকানাগুলি লগ করুন৷
-Q/--লগ-অনন্য-নোড
রিপোর্টে ডুপ্লিকেট নোড সম্পূর্ণরূপে দমন করতে এটি সক্ষম করুন।
-u/--শান্ত
এটি স্ক্যানের সময় skipfish সমস্ত কনসোল আউটপুট দমন করার কারণ হবে।
-v/--ভার্বোস
পরীক্ষামূলক: রানটাইম রিপোর্টিং সক্ষম করতে এই পতাকাটি ব্যবহার করুন, উদাহরণস্বরূপ, সমস্যার৷
যে সনাক্ত করা হয়. ভার্বোসিটি বাড়ানোর জন্য একাধিকবার ব্যবহার করা যেতে পারে এবং হওয়া উচিত
-u-এর সংমিশ্রণে ব্যবহৃত হয় যদি না আপনি stderr-এর সাথে skipfish চালান a-তে পুনঃনির্দেশিত
ফাইল.
অভিধান ম্যানেজমেন্ট
নিশ্চিত করুন যে আপনি doc/dictionaries.txt-এ প্রদত্ত নির্দেশাবলী পড়েছেন
ডান অভিধান ফাইল এবং সঠিকভাবে কনফিগার করুন। এই পদক্ষেপের উপর গভীর প্রভাব রয়েছে
পরে স্ক্যান ফলাফলের গুণমান।
-S/--শব্দ তালিকা
স্ক্যানের সময় ব্যবহারের জন্য নির্দিষ্ট (শুধুমাত্র পঠনযোগ্য) শব্দ তালিকা লোড করুন। এই পতাকা
ঐচ্ছিক কিন্তু একটি ব্ল্যাকবক্স সম্পাদন করার সময় একটি অভিধান ব্যবহার অত্যন্ত সুপারিশ করা হয়
স্ক্যান করুন কারণ এটি লুকানো ফাইল এবং ডিরেক্টরি হাইলাইট করবে।
-W/--rw-শব্দ তালিকা
নতুন শেখা সাইট-নির্দিষ্ট কীওয়ার্ডের জন্য প্রাথমিকভাবে একটি খালি ফাইল নির্দিষ্ট করুন (যা
ভবিষ্যতের মূল্যায়নে কাজে আসবে)। আপনি যদি -W- বা -W /dev/null ব্যবহার করতে পারেন
স্বয়ংক্রিয়ভাবে শেখা কীওয়ার্ড কোথাও সংরক্ষণ করতে চান না। সাধারণত আপনি ব্যবহার করতে চান
প্যাকেজ ডিকটোনারির একটি (যেমন complete.wl) এবং সম্ভবত একটি কাস্টম যোগ করুন
অভিধান।
-L/--নো-কীওয়ার্ড-লার্নিং
স্ক্যান করার সময়, স্কিপফিশ নতুন কীওয়ার্ড শিখতে এবং ব্যবহার করার চেষ্টা করবে। এই পতাকা
সেই আচরণকে নিষ্ক্রিয় করে এবং ব্যবহার করা উচিত যখন কোনো ধরনের নৃশংস-জোর না করা হয়
আকাঙ্ক্ষিত.
-Y/--নো-এক্সটেনশন-ব্রুট
ডিরেক্টরি ব্রুটফোর্সিংয়ের সময় এই পতাকা এক্সটেনশন অনুমান অক্ষম করবে।
-আর
এই পতাকার ব্যবহার পুরানো শব্দগুলিকে শব্দ তালিকা থেকে মুছে ফেলার অনুমতি দেয়৷ এটা করার উদ্দেশ্যে করা হয়
পুনরাবৃত্ত স্ক্যানে ব্যবহৃত হলে অভিধান পরিষ্কার রাখতে সাহায্য করে।
-T/--ফর্ম-মান
Skipfish স্ক্যানকে সর্বাধিক করার জন্য একটি ফর্ম স্বয়ংক্রিয়-সম্পূর্ণ প্রক্রিয়াও বৈশিষ্ট্যযুক্ত করে
কভারেজ মানগুলি অ-দূষিত হওয়া উচিত, কারণ সেগুলি বাস্তবায়নের জন্য নয়৷
নিরাপত্তা পরীক্ষা - বরং, অতীতের ইনপুট বৈধতা যুক্তি পেতে। আপনি সংজ্ঞায়িত করতে পারেন
অতিরিক্ত নিয়ম, বা বিদ্যমান নিয়মগুলিকে ওভাররাইড করুন, -T বিকল্পের সাথে (-T
form_field_name=field_value, যেমন -T login=test123 -T password=test321 - যদিও
মনে রাখবেন যে -C এবং -A হল লগ ইন করার অনেক ভালো পদ্ধতি)।
-জি
স্ক্যান করার সময়, নতুন সনাক্ত করা কীওয়ার্ডগুলির একটি অস্থায়ী বাফার বজায় রাখা হয়। দ্য
এই বাফারের আকার এই পতাকা দিয়ে পরিবর্তন করা যেতে পারে এবং এটি করার প্রভাব পড়ে
নৃশংসতা
কর্মক্ষমতা বিকল্প
ডিফল্ট কর্মক্ষমতা সেটিং অধিকাংশ সার্ভারের জন্য জরিমানা করা উচিত কিন্তু যখন রিপোর্ট
ইঙ্গিত করে যে সংযোগ সমস্যা ছিল, আপনি এখানে কিছু মান পরিবর্তন করতে চাইতে পারেন।
অস্থির সার্ভারের জন্য, কম মান ব্যবহার করার সময় স্ক্যান কভারেজ উন্নত হতে পারে
হার এবং সংযোগ পতাকা।
-l/--সর্বোচ্চ-অনুরোধ-হার
এই পতাকা প্রতি সেকেন্ডে অনুরোধের পরিমাণ সীমিত করতে ব্যবহার করা যেতে পারে। এটা খুব
উপযোগী যখন লক্ষ্য সার্ভার অনুরোধের উচ্চ পরিমাণের সাথে রাখতে পারে না
skipfish দ্বারা উত্পন্ন হয়. প্রতি সেকেন্ডে অনুরোধের পরিমাণ কম রাখাও সাহায্য করতে পারে
কিছু হার-ভিত্তিক DoS সুরক্ষা ব্যবস্থাকে লাথি মারা এবং নষ্ট হওয়া থেকে রোধ করা
স্ক্যান
-g/--সর্বোচ্চ-সংযোগ
এই পতাকা দিয়ে সর্বোচ্চ একযোগে TCP সংযোগ (গ্লোবাল) সেট করা যেতে পারে।
-m/--সর্বোচ্চ-হোস্ট-সংযোগ
প্রতি টার্গেট আইপি-তে সর্বাধিক একযোগে TCP সংযোগগুলি এই পতাকা দিয়ে সেট করা যেতে পারে।
-f/--max-failed-requests
আপনি দেখতে ইচ্ছুক পরপর HTTP ত্রুটির সর্বোচ্চ সংখ্যা নিয়ন্ত্রণ করে
স্ক্যান বাতিল করার আগে। বড় স্ক্যানের জন্য, আপনি সম্ভবত একটি উচ্চ মান সেট করতে চান
এখানে.
-t/--অনুরোধ-সময় শেষ
সত্যিই ধীর বা সত্যিই দ্রুত সাইটগুলির জন্য অ্যাকাউন্টে মোট অনুরোধের সময়সীমা সেট করুন।
-w/--নেটওয়ার্ক-টাইমআউট
নেটওয়ার্ক I/O টাইমআউট সেট করুন।
-i/-- নিষ্ক্রিয়-সময় শেষ
নিষ্ক্রিয় HTTP সংযোগের জন্য সময়সীমা নির্দিষ্ট করুন।
-s/--প্রতিক্রিয়ার আকার
আনয়ন এবং পার্স করার জন্য একটি প্রতিক্রিয়ার সর্বাধিক দৈর্ঘ্য সেট করে (দীর্ঘ প্রতিক্রিয়া হবে৷
কাটা)।
-ই/--বাইনারি বাতিল করুন
এটি বাইনারি নথিগুলিকে রিপোর্ট করার উদ্দেশ্যে মেমরিতে রাখা থেকে বাধা দেয়,
এবং অনেক RAM মুক্ত করে।
--ফ্লাশ-টু-ডিস্ক
এর ফলে অনুরোধ/প্রতিক্রিয়া ডেটা রাখার পরিবর্তে ডিস্কে ফ্লাশ করা হয়
স্মৃতি. ফলস্বরূপ, বড় স্ক্যানের জন্য মেমরি ব্যবহার উল্লেখযোগ্যভাবে কম হবে।
উদাহরণ
স্ক্যান টাইপ: কনফিগ
skipfish --config config/example.conf http://example.com
স্ক্যান টাইপ: দ্রুত
skipfish -o আউটপুট/dir/ http://example.com
স্ক্যান টাইপ: ব্যাপক পাশবিক বল
স্কিপফিশ [...অন্যান্য বিকল্প..] -S অভিধান/complete.wl http://example.com
স্ক্যান টাইপ: ছাড়া নৃশংসতা
skipfish [...অন্যান্য বিকল্প..] -LY http://example.com
স্ক্যান টাইপ: অনুমোদিত (মৌলিক)
স্কিপফিশ [...অন্যান্য বিকল্প..] -A ব্যবহারকারীর নাম: পাসওয়ার্ড http://example.com
স্ক্যান টাইপ: অনুমোদিত (কুকি)
skipfish [...অন্যান্য বিকল্প..] -C jsession=myauthcookiehere -X /logout http://example.com
স্ক্যান টাইপ: স্তরপূর্ণ সার্ভার
skipfish [...অন্যান্য বিকল্প..] -l 5 -g 2 -t 30 -i 15 http://example.com
নোট
সমস্ত পতাকার ডিফল্ট মান ´./skipfish -h´ চালানোর মাধ্যমে দেখা যেতে পারে।
onworks.net পরিষেবা ব্যবহার করে অনলাইনে স্কিপফিশ ব্যবহার করুন
