【预告】自动化渗透测试平台

最新推荐文章于 2024-04-13 14:13:48 发布
最新推荐文章于 2024-04-13 14:13:48 发布
阅读量682 收藏 2
点赞数
文章标签: 自动化 运维 网络安全 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42067124/article/details/129160660
版权

何为自动化渗透测试平台

自动化渗透测试平台,字如其意,即只需要输入目标域名,就可自动进行渗透测试,目的还是在于减少平时做项目时的工作量,将重复的工作自动化(降本增效);它能在做好资产梳理的同时快速发现各类漏洞,快人一步;外网主要用于项目快速打点批量SRC捡漏等场景,内网则主要用于风险资产发现资产测绘等场景。

目前流程主要分为5个部分,依次为:

  • 信息收集部分

  • 资产梳理部分

  • 端口扫描部分

  • 漏洞扫描部分

  • 报告输出部分

组成部分

目前还处于开发状态中,暂定组成部分为3个部分:

引擎:整套系统的核心,执行各种计划任务

后端:和引擎进行交互,任务下发

前端:用于展示结果,为了美观方便采用ELK搭建

结果展示

以斗鱼为例,各种态势图不在本次展示范围内。

资产梳理:

image-20230120171846967

部分信息:

image-20230120172512971

端口扫描:

image-20230222103044174

漏扫扫描:

大SRC因为扫描的人太多,很难出货高危严重,这里为了演示效果,以补天公益为例。
不过此漏扫在传统漏扫的基础上,增加了大量的新特性,因此在一些大SRC混低危礼品效果也很是不错。

昨天下午6点开扫,到目前接近扫描14个小时,可见出货率还是不错;但是这些公益SRC白嫖太费时间了,而且重复率巨高,不建议大家去刷,除非你有也自动化提交脚本

image-20230222104201729

表现情况

前面也说了,大SRC基本上很难直接出高危严重,所以我也变成了一个低危小子,只能勉强混混活动礼品补贴一下生活这个样子。

image-20230222104634452

不过也有运气好的时候

之前没在Hackerone提现过,现在试了好多次提不出来,不知道是不是方法不对,扫不动了。

image-20230222105449292

image-20230222105246199

开发时间线

多年前就一直在尝试,写过很多版,不过每次都是因为不够模块化导致一段时间没用后,或者改动调整太过麻烦,就懒得再去维护了,这次立个flag一定好好模块化!!!

当前这一版更新日志最早可追溯到2022年5月份,加上构思开发成型花了大概2个月的时间,到现在也差不多有一年了,期间也发牢骚发了一篇水文《近期思考和干的事》

image-20230222105937928

不过到现在我还在坚持更新,增加各种新特性、新功能来更加完善这个平台,不知道这次又能坚持多久哈哈。

image-20230222110438356

最后

DFF Team成立啦👏

DFF全称Decentralization Financial Freedom,短短3个字母包含了我们对每一位成员的期望,翻译过来为去中心化财务自由,即我们希望加入团队内的每一位成员,都可以实现财富自由!

DFF_Team
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Penta:一款开源的多合一自动化渗透测试命令行工具(很强,包含扫描、DNS、Shodan)
墨痕诉清风的博客
11-04 1602
Penta采用Python 3开发,并且提供了大量高级功能,例如Metasploit以及Nexpose,可帮助研究人员从指定服务器中提取出详细的漏洞信息。
自动化渗透测试工具 - 安服工具
02-22
仅需输出企业名称即可实现资产发现、漏洞探测。 可生成报告,可 7* 24 小时运行 集成多种自动化渗透测试能力,实战效果极好
每个都能让你欲罢不能!私藏的「网络安全/渗透测试实用工具」
MachineGunJoe666
06-09 1006
漏洞及渗透练习平台 WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy Damn Vulnerable Web Application(漏洞练习平台) https://github.com/RandomStorm/DVWA 数据库注入练习平台 https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台,like OWASP
VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)
热门推荐
qq_42067124的博客
02-08 1万+
该漏洞编号为CVE-2021-21974,由 OpenSLP 服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7 版本之前的 ESXi 管理程序
自动化渗透测试的应用与实践!
最新发布
2301_77709772的博客
04-13 721
自动化渗透测试是一种帮助安全团队确定网络或应用程序安全性的创新选择,在测试过程中,测试人员需要使用自动化渗透测试工具检查目标环境网络系统中的目标设备和端口。以下是其自动化渗透测试的常见运行过程:
极光无限渗透测试面经_AI自动化渗透测试平台“极光猎手”域名探测模块免费开放...
weixin_42517649的博客
01-03 717
帮助护网防守企业,探测影子资产,发现安全隐患。老虎,被公认为“兽中之王”,四肢强大,牙齿锋利。除了凶猛的外在,老虎还具备猎手的智慧。一个成功的猎手,一定是不动如石,蓄势待发,一旦锁定目标,便迅捷如风。而老虎天生就是这样猎手般的存在!如今,“猎手”这个词被赋予了新的含义。今天,极光无限AI自动化渗透测试平台——极光猎手正式上线,目前只开放“子域名探测”模块,免费开放一个月。平台入口:https://...
10个练习Web渗透测试的最佳网站
Spontaneous_0的博客
12-19 1680
这是一个用于练习渗透测试技能的流行平台,具有一系列可供攻击和利用的虚拟机 (VM)。它还拥有一个活跃的用户社区,分享提示和技巧。另一个流行的平台,具有一系列虚拟机来练习渗透测试技能。它还为初学者和高级用户提供学习路径。该平台提供 Web 应用程序安全挑战,可满足初学者和高级用户的需求。它还提供一系列涵盖各种安全主题的实验和练习。该平台拥有大量虚拟机,可以模拟真实场景并被设计为可供利用。它还拥有一个社区论坛,用户可以在这里分享他们的经验。该平台提供各种挑战,测试您在网络安全、密码学和网络开发等领域的技能。
2023年8款渗透测试工具和软件性能评估
MachineGunJoe666
07-18 795
随着技术的不断进步,确保计算机系统、网络和应用程序的安全变得越来越重要。安全专家评估整个数字生态系统安全态势的方法之一就是进行渗透测试渗透测试是评估和强化组织数字资产安全态势的基本实践,且需要使用渗透测试工具进行。鉴于这些工具的激增,我们列出了2023年可用的顶级渗透测试工具,以及它们的功能、优点和缺点。
记一次自动化渗透测试的学习研究
jklbnm12的博客
09-28 1602
在攻击树的基础上生成简化版的转移矩阵,随后基于深度强化学习来自动化给出渗透测试策略,未来可以根据该策略自动调用渗透测试工具来完成攻击。 Automated Penetration Testing Using Deep Reinforcement Learning 笔记作者:z3r0yu 论文作者:Z.Hu, R.Beuran, Y.Tan @ 日本-先端科学技術研究所 JAIST 项目链接:https://github.com/crond-jaist/AutoPentest-DRL 论文来源:2020 IE
LuckyFrameWeb测试平台(一款支持接口自动化、WEB UI自动化、APP自动化,并且支持分布式测试的全纬度免费开源测试平台
猎摘互联网软件测试业界技术文章专用博客
08-12 8791
官网:luckyframe.cn 源码地址:https://gitee.com/seagull1985/LuckyFrameWeb 分布式测试:使用Web-Client的方式,Web端负责基本信息管理展示,Client负责用例执行,任意无限扩展客户端。 专业用例管理:自动化用例的专业管理方式,让您编写自动化用例更简单,直观。 质量管理:Web端不仅仅有用来管理自动化相关的模块,更可以做一些...
2023最好用的【5个开源自动化测试框架】真的个个都是必备神器
weixin_67553250的博客
03-27 1962
以上这些自动化测试框架都有着自己的优点和适用场景,测试人员应该根据自己的测试需求来选择适合自己的框架。当然,不同的框架也有着不同的学习曲线和使用难度,所以建议测试团队在选择自动化测试框架之前,首先要做好测试需求和测试能力的规划,并进行适当的培训和学习。这样,将可以更加高效地使用自动化测试工具,提高测试效率和软件质量。
7款热门的自动化渗透测试工具及特点分析
2301_76161259的博客
10-19 188
随着当前网络安全威胁的不断扩展与升级,开展渗透测试工作已经成为众多组织主动识别安全漏洞与潜在风险的关键过程。然而,传统的渗透测试对测试人员的经验水平有很强的依赖,对相关知识的掌握有很高的要求,企业需要投入较大的时间和人力成本才能完成。在此背景下,很多企业开始借助自动化渗透测试工具来缓解传统渗透测试的弊端,这些工具能够自动分析目标系统所在网络环境,将安全团队从复杂的测试流程中解放出来,降低了企业开展渗透测试的成本。
基于自动化渗透测试的分析
01-29
自动化Web安全漏洞的渗透测试工具就成为了首选。在本论文中,通过3款知名的漏洞扫描器对20个公开的可用web应用程序进行测试评估,验证了Web应用程序中存在的安全缺陷。对比3款扫描器的检测结果,不同的扫描器会...
Nettacker:自动化渗透测试框架
04-28
此软件是为自动渗透测试和信息收集而创建的。 对于任何非法使用,贡献者概不负责。 创建OWASP Nettacker项目是为了自动进行信息收集,漏洞扫描并最终生成网络报告,包括服务,错误,漏洞,配置错误和其他信息。 该...
Flashlight:用于渗透测试自动化信息收集工具
02-02
渗透测试人员在信息收集阶段花费了大量的时间。Flashlight(Fener)能够迅速对目标网络提供服务的网络端口进行扫描并收集信息。因此Flashlight可以作为渗透测试中可以使用的一个不错的选择。本文将对Flashlight做一个...
基于Python的自动化渗透测试工具+源代码+文档说明
12-01
基于Python的自动化渗透测试工具 -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试运行成功,...
来自GitHub的系列渗透测试工具
m0_59598029的博客
02-06 1255
基于最新的kali讲解,循序渐进地对攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助,讲解通俗易懂,风趣幽默,风格清新活泼,学起来轻松自如,酣畅淋漓!
常用的安全渗透测试工具!(含安装、使用教程)
人生不怕起点低,就怕没追求
11-09 214
1.SQLMap详解 SQLMap是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。
18款好用的网络安全渗透测试工具推荐
2201_75735270的博客
06-13 2915
18款好用的网络安全渗透测试工具推荐
如何系统化的学习渗透测试
03-29
以下是一些建议: 1. 建立基础知识:了解计算机网络的基础知识,包括网络协议、操作系统、Web应用程序等等。 2. 学习编程技能:学习一门编程语言,如Python、Ruby、Perl等等。在渗透测试中,编程技能可以帮助你快速开发脚本,自动化渗透测试流程。 3. 学习安全技术:了解安全技术,如密码学、漏洞分析、逆向工程等等。这些知识可以帮助你理解渗透测试中的各种技术和工具。 4. 学习渗透测试方法:学习渗透测试的方法和技术,如信息收集、漏洞扫描、漏洞利用、权限提升等等。 5. 实践渗透测试:通过参加在线CTF比赛、自己构建渗透测试实验环境、参与开源项目等方式来实践渗透测试。 6. 学习工具:了解常用的渗透测试工具,如Nmap、Metasploit、Burp Suite等等。 7. 参加培训课程:参加在线或实体的渗透测试培训课程,可以帮助你系统化地学习渗透测试知识和技能。 8. 学习社区:参加渗透测试社区,如GitHub、Reddit、Twitter等等,与其他渗透测试人员交流经验和知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值