v0.8.6

ChangeLog

• 实装random useragent, random-agent 即可打开
• 修复-m host时字典拼接错误的bug
• 优化log日志
• 修复某些情况下200页面过滤不生效的bug

Full Changelog: v0.8.5...v0.8.6

v0.8.5

Changelog

• 优化指纹收集策略, 只有html,json,txt的格式会进行指纹收集, 防止crawl时出现大量指纹误报
• 修复特殊的url导致报错的bug
• 修复check-only失效的bug

Full Changelog: v0.8.4...v0.8.5

v0.8.4

Changelog

• [New Feature] 新增一种特殊的过滤模式--unique 或指定状态码的--unique-status 200, 会根据resp 由host+状态码+重定向url+content-type+title+length舍去个位与十位组成的模糊hash 进行过滤, 能过滤掉通配符反代目录
• -F新增从stdin中读, 并添加颜色参数, -F stdin
• Baseline会自动跳过二进制数据的读取, 节省性能
• 调整extracted格式, 现在能获取到--recon中的具体哪个规则命中

Full Changelog: v0.8.3...v0.8.4

v0.8.3

Changelog

优化多种过滤策略.

• 新增全状态码模糊过滤模式, --fuzzy-status all 开启, 所有的状态码都会与其对应的baseline对比
• 优化30x状态码的过滤, 如果是自动添加"/"的跳转, 则会被过滤, 并赋予fuzzy redirect 失败原因. 不影响跳转结果的匹配
• 优化location的处理, 某些应用可能会使用小写
• waf-status添加两个常见的waf状态码, 1020与406
• 去重策略不再作用于word, 防止内存中维护一个过大的map. 对扫描结果实际无影响.

Full Changelog: v0.8.2...v0.8.3

v0.8.2

Changelog

• 实装java全新绕过相关的规则, 可使用authbypass指定对应的规则库
• 优化多处性能与输出细节
• 更新新的words库, 修复了多个rule模板语言的bug
• 输入输出代码迁移到parsers库中

Full Changelog: v0.8.0...v0.8.2

v0.8.0

Changelog

• [New Feature] 新增--recon命令, 自动信息提取, 用来提取各种敏感信息, 如password, token等等, 如果使用-a将自动打开
• 适配新版本gogo v2.10.4
• 完成对extract相关功能的重构
• 暂时解决了使用plugin功能时, ctrl+c无法退出程序的bug
• 优化了输出中的number字段, 现在能正确判断了, 并且addition中的number会是当前的word offset, 可以用来判断错误发生的位置.
• 优化统计模块, 现在check失败的任务也会在stat中保留了
• 修复了一个紧急bug, 在之前版本解决阻塞问题时, 引入了新的阻塞问题, 导致check管道被阻塞而卡死. 在2023.1.29后下载的版本已修复这个版本

Full Changelog: v0.7.6...v0.8.0

v0.7.6

• [NEW FEATURE] 新增--rate-limit用来限制速率. 默认为0, 无限制
• [NEW FEATURE] 优化status的配置, 可以通过+ 与!来在原有的列表中修改, 用来简化每次都需要重新复制一遍原有的状态码的操作.
• 优化了url去重的逻辑, 现在不仅仅crawl会去重, 所有附加的功能都会进行去重, 手动指定的字典不会被去重限制
• 调整crawl的逻辑与正则, 减少误报
• 丰富了日志, 告警与配色方案, 提升用户体验.
• 修复了不合法的url可能导致spray报错的bug
• 优化了stat的输出, 现在init failed的任务也会在stat中保留

Full Changelog: v0.7.5...v0.7.6

v0.7.5

• 重写了目录拼接的所有逻辑, 尽可能安全的拼接
• 优化body读取的逻辑, 0byte的body将会自动跳过读取
• stat中添加了关于sources来源的统计. 并在任务结束时输出.
• 重写协议升级的逻辑, http升级到https时, 将会重新获取基线
• 重写redirect的逻辑, 现在所有的有效目录都会进行redirect判断.

Full Changelog: v0.7.4...v0.7.5

v0.7.4

• 对爬虫进行了大量优化, 现在的效果数百倍的好于jsfinder
• [new feature] 新增--crawl-depth 自定义爬虫深度
• [new feature] 实装-c参数, 可以自定义client
• [new feature] 新增--read-all参数, 用来取消body max read限制, 在爆破备份文件的时候谨用
• 优化多处目录拼接, 适配"./"相对目录
• 修复host输出不适当的bug
• 优化命令行参数, 当-w与-d都为空的时候自动添加"/"防止报错

Full Changelog: v0.7.2...v0.7.4

v0.7.2

• [new feature] 新增content-type属性, 现在非html的格式将会自动使用对应的格式名代替title.
• [new feature] 新增distance字段, 当进行过模糊匹配后, 将输出distance, 如果没进行模糊匹配则默认不会输出, 需要-o sim/distance手动指定.
• [new feature] 新增favicon的指纹识别, 并可以搭配--crawl实现比gogo更强的ico_hash的指纹识别
• index现在发送的是空数据, 而非添加了"/"之后的
• random path现在使用的也是safepath后的
• 优化相似度判断的逻辑, 并添加了distance/sim字段
• 优化fuzzybaseline的逻辑, 并修复了其并发安全的问题
• 使用公共的nilbaseline优化性能
• 修复--fuzzy没启用也会生效的bug