【第104课】漏洞发现-漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

于 2024-09-13 09:24:34 发布
阅读量248 收藏 1
点赞数 8
分类专栏: 漏洞发现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucker_YYY/article/details/142140488
版权

11

知识点:

1、插件类-武装BurpSuite-漏洞检测&分析辅助

2、插件类-武装谷歌浏览器-信息收集&情报辅助

插件类-武装BurpSuite-漏洞检测&分析辅助

1、如何加载插件:

2、漏洞检测类:

Fiora

Nuclei提供Poc图形界面,实现快速搜索、一键运行等功能,提升体验。
GitHub - bit4woo/Fiora: Fiora:漏洞PoC框架Nuclei的图形版。快捷搜索PoC、一键运行Nuclei。即可作为独立程序运行,也可作为burp插件使用。

单个POC检测

多个POC检测

TsojanScan

集成的BurpSuite常见漏洞探测插件

https://github.com/Tsojan/TsojanScan

RouteVulScan

递归式被动检测脆弱路径的burp插件

https://github.com/F6JO/RouteVulScan

APIKit

APIKit可以主动/被动扫描发现应用泄露的API文档,并将API文档解析成BurpSuite中的数据包用于API安全测试。

https://github.com/API-Security/APIKit

3、分析辅助类:

HaE

高亮标记和信息提取利器

https://github.com/gh0stkey/HaE

插件类-武装谷歌浏览器-信息收集&情报辅助

参考:
https://mp.weixin.qq.com/s/5RcG2O5_WGDD7b0b1sGKJA
https://mp.weixin.qq.com/s/KtmgH9djcHZs-kdEZK9fvQ
https://mp.weixin.qq.com/s/neOK5kHJyoJR6LS5yx2QGQ

HackBar

Heimdallr

GitHub - Ghr07h/Heimdallr: 一款完全被动监听的谷歌插件,用于高危指纹识别、蜜罐特征告警和拦截、机器特征对抗

Wappalyzer

FindSomething

Lucker_YYY
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
day-03搭建apache&安装burp-suit
01-10
burp_suite 。。。。。
BurpSuite使用的插件HaE-2.6.1.jar
05-01
BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
漏洞发现-漏扫项目&武装BURP&浏览器插件&信息收集&分析辅助
siu~
03-13 994
1、插件类-武装BurpSuite-漏洞检测&分析辅助 2、插件类-武装谷歌浏览器-信息收集&情报辅助 章节点: 漏洞发现-Web&框架组件&中间件&APP&小程序&系统 扫描项目-综合漏扫&特征漏扫&被动漏扫&联动漏扫 Poc开发-Ymal语法&联动导入&项目拓展&Ai结合 扫描插件-Burpsuite插件&浏览器插件&自动模版
Day104漏洞发现-漏扫项目&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先
qq_61553520的博客
04-17 722
小迪安全-Day104漏洞发现-漏扫项目&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先
漏洞发现-漏扫项目&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动
siu~
03-13 2130
1、综合类-Burp&Xray&Awvs&Goby 2、特征类-Afrog&Yakit&Nuclei 3、联动类-主动扫描&被动扫描&中转扫描 章节点: 漏洞发现-Web&框架组件&中间件&APP&小程序&系统 扫描项目-综合漏扫&特征漏扫&被动漏扫&联动漏扫 Poc开发-Ymal语法&联动导入&项目拓展&Ai结合 扫描插件-Burpsuite插件&浏览器插件&自动模版
漏洞发现-漏扫项目&Poc开发&Yaml语法&反链判断&不回显检测&Yaml生成
siu~
03-20 976
1、Xray&Afrog-Poc开发-环境配置&编写流程 2、Xray-Poc开发-数据回显&RCE不回显&实验室 3、Afrog-Poc开发-数据回显&RCE不回显&JDNI注入 章节点: 漏洞发现-Web&框架组件&中间件&APP&小程序&系统 扫描项目-综合漏扫&特征漏扫&被动漏扫&联动漏扫 Poc开发-Ymal语法&联动导入&项目拓展 扫描插件-Burpsuite插件&浏览器插件&自动模版
Burpsuite-JSScan:burpsuite插件:主动和被动进行JS扫描并分析其中的可利用点
05-23
具体可利用点的分析,例如ajax语法等(在github上发现了外国大佬用python写这个burp插件) 关于解析JS,参考https://github.com/Threezh1/JSFinder的实现,基于一个大正则,外国大佬的工具也是基于这个大正则 其实...
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 928
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
浅谈网络安全的认识与学习规划
qq_201729558
09-05 1128
本文主要介绍网络安全认识与学习规划
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 275
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能做到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火花的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
【Authing身份云-注册安全分析报告-无验证方式导致安全隐患】
09-09 730
Authing身份云隶属于北京蒸汽记忆科技有限公司, 是专业的员工身份管理和用户身份管理服务提供商,为企业和开发者提供快速、安全的身份认证和访问管理方案。基于员工和用户身份管理,Authing 推出了单点登录、自适应多因素认证、手机号码闪验、应用集成网关、权限管理、通用登录组件、自定义数据库连接等产品。作为身份验证的厂家,好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
个人信息记录安全:守护数字时代的隐私堡垒
大厂全栈码农
09-09 1383
同时,也强调了个人在保护自身信息方面的意识与行为的重要性,最后对个人信息记录安全的未来发展趋势进行了展望,旨在为构建更安全的个人信息环境提供全面且深入的思考。此外,在移动互联网时代,个人信息还存在于各种移动应用程序中,从社交软件、购物应用到金融理财 APP 等,这些应用在为用户提供便捷服务的同时,也收集和存储了大量的个人信息。例如,一些电商平台在用户浏览商品时,收集了大量与购物无关的个人信息,如地理位置、设备信息等,并将这些信息用于精准营销,甚至在用户不知情的情况下将信息共享给其他第三方公司。
GORM安全-保护你的应用免受SQL注入攻击
一起coding,一起嗨。
09-12 328
GORM安全-保护你的应用免受SQL注入攻击
网络安全宣传周 | DNS安全威胁与应对措施分享
最新发布
weixin_53018687的博客
09-12 687
然而,DNS协议在设计初期只注重功能的实现,未充分考虑安全验证机制,缺乏有效的安全防御手段,DNS协议数据包往往能够在网络中畅通无阻,为攻击者提供了可乘之机,这一天生的设计缺陷使得DNS系统天然地成为了安全领域的薄弱环节。DNS劫持:DNS劫持是指攻击者通过篡改DNS解析结果,将用户的流量重定向到不同的IP地址,通常是恶意网站。DNS泛洪攻击:DNS洪泛攻击是一种拒绝服务攻击,攻击者通过发送大量的DNS请求,通常是伪造的或毫无意义的查询,消耗DNS服务器的资源,使其无法响应合法的查询请求。
Siri因ChatGPT-4o升级:我们的个人信息还安全吗?
m0_65134936的博客
09-12 730
随着人工智能技术的不断进步,智能语音助手如Siri、Alexa、Google Assistant等已成为我们生活的一部分。这些助手通过自然语言处理(NLP)技术与用户互动,提供更加个性化的服务。近期,ChatGPT-4o的引入为Siri带来了全新的功能和体验,但同时也引发了公众对于个人信息安全的深切关注。ChatGPT-4o的运行依赖于强大的数据中心和先进的计算机处理能力。当用户通过Siri与ChatGPT-4o交互时,每一次对话都会被发送到OpenAI的服务器进行处理。
供方软件供应链安全保障要求及开源场景对照自评表(上)
LJQClqjc的博客
09-09 298
开源软件供应链作为软件供应链的一种特殊形式,该国标亦适用于指导开源软件供应链中的供需双方开展组织管理和供应活动管理,增强开源软件供应链组织管理和供应活动管理能力,防范供应链导致的开源软件产品及其生命周期中断类的供应关系风险,防止供应活动在开源软件及其生命周期服务中引入新的技术安全风险和知识产权风险(例如:防止供应活动引入的软件漏洞、后门、篡改、伪造、许可协议不合规等),保障业务持续稳定安全运行。以下根据我们的分析研究,对国标中与开源供应链安全直接相关的内容进行识别与分析,供业内参考。
burpsuite浏览器插件
09-15
你可以使用 Burp Suite Browser 插件将 Burp Suite 集成到你的浏览器中。这样可以方便地拦截、修改和观察浏览器与服务器之间的通信。以下是安装步骤: 1. 打开 Burp Suite,并确保它正在运行。 2. 在浏览器中,导航到 Extender(扩展)选项卡。 3. 点击 "Add"(添加)按钮,然后选择 "Burp Suite"。 4. 在弹出的对话框中,填写以下字段: - Extension Type(扩展类型):选择 "Extension"(扩展) - Extension Name(扩展名称):可以自定义一个名称 - Extension File(扩展文件):选择 "burp-extender-api.xpi" 文件,该文件应该在 Burp Suite 的安装目录下的 "burp" 文件夹中。 5. 点击 "Next"(下一步)。 6. 确认信息后,点击 "Install"(安装)进行安装。 7. 安装完成后,你将在浏览器的工具栏或扩展菜单中看到 Burp Suite 的图标。 现在,你可以使用 Burp Suite Browser 插件来拦截和修改浏览器与服务器之间的请求和响应,以便进行渗透测试和安全评估。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值