QaFuzz是一款专为安全研究人员设计的自动化工具,用于发现企业测试环境暴露在公网的子域名。通过智能生成测试域名、验证DNS解析和响应状态,帮助挖掘潜在的安全漏洞。
| 🎯 智能生成 | 🔍 精准验证 | 🤝 工具联动 |
|---|---|---|
| 自动组合test/dev/stage等子域名 | 验证DNS解析为外网IP | OneScan|APiKit等 |
- 安装
QaFuzz的Burp扩展 - 在QaFuzz工具中,配置需要探测的测试域名关键字,多个关键字以,分割
- 在Burp中右键目标域名 → "Send to QaFuzz"
- 结合Burp Suite使用:将发现的可疑请求直接发送到QaFuzz
- 联动漏洞扫描工具:将QaFuzz扫描结果发送到OneScan/ApiKit等工具
- 定期更新子域名字典:添加企业特有的测试环境命名习惯
欢迎提交Issue或Pull Request
