ParamSpider是一种基于Python语言的工具，是一种开源工具，用于从 Web 档案中挖掘参数，而无需与受害主机建立交互。对于挖掘参数，ParamSpider 工具使用各种技术和词表。但是，这些参数对于安全研究人员或漏洞赏金猎人最有用，因为他们可以轻松测试多种漏洞，例如 XSS、SQL 注入、SSRF 或打开重定向。

ParamSpider 工具的主要特点

1. ParamSpider 从输入的目标主机的网络档案中挖掘隐藏参数。
2. ParamSpider 还从目标子域中查找参数。
3. ParamSpider 支持具有特定扩展名的 URL。
4. ParamSpider 从网络档案中挖掘参数，而无需与受害主机交互。
5. ParamSpider 以一种干净整洁的方式将扫描的输出保存在文本文件中。

在 Kali Linux 中安装 ParamSpider 工具

步骤 1：首先，您必须打开 Kali Linux 终端，然后使用以下命令移动到桌面。在桌面上，我们必须创建一个目录，我们将在其中安装该工具或从 GitHub 克隆该工具。

cd Desktop/

第 2 步：现在，我们在桌面上。我们将使用以下命令创建一个名为 ParamSpider 的新目录。

mkdir ParamSpider

第 3 步：您已经在桌面上创建了目录 ParamSpider。使用以下命令移动到此目录。

cd ParamSpider/

第 4 步：现在您位于 ParamSpider 目录下。在这里，您必须从 GitHub 克隆 ParamSpider 工具。要克隆该工具，请使用以下命令。

git clone https://github.com/devanshbatham/ParamSpider

第五步：现在，工具已经成功克隆到ParamSpider目录下。现在使用以下命令列出该目录中该工具的所有内容。

ls

第 6 步：您可以在此处看到一个新目录。参数蜘蛛创建。使用以下命令移动到此目录。

cd ParamSpider

步骤 7：使用以下命令列出目录的内容。

ls

第八步：下载运行Python脚本所需的包，使用以下命令。

pip3 install -r requirements.txt

第九步：运行该工具或使用以下命令配置该工具的帮助页面。

python3 paramspider.py --help

使用 ParamSpider 工具

例子 ：

python3 paramspider.py -d geeksforgeeks.org

我们的扫描过程开始了，ParamSpider 会在 geeksforgeeks.org 的不同 URL 上找到所有参数

现在，您可以看到我们有 67390 个唯一参数 URL。您可以轻松测试任何参数的不同漏洞。

这些 URL 与目标名称一起保存在输出目录中。