漏洞发现(工具篇)

最新推荐文章于 2024-02-18 11:07:34 发布
最新推荐文章于 2024-02-18 11:07:34 发布
阅读量701 收藏 7
点赞数 2
分类专栏: 漏洞发现 文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46085232/article/details/118249621
版权

漏洞发现-工具篇


想必不管是小白,还是大佬,都听过,或者使用,甚至二次开发过漏扫工具,比如,xray,awvs,goby等等。这里将先介绍常用的工具,及其用法,在叙述,漏扫工具的“正确使用方法”。

常用漏洞扫描工具

Xray

Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持Windows /macOS /Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
下载地址:https://github.com/chaitin/xray/releases

AWVS

Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力。
下载地址:https://www.ddosi.com/awvs14-2/

Goby

Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。能通过智能自动化方式,帮助安全入门者熟悉靶场攻防,帮助攻防服务者、渗透人员更快的拿下目标。
下载地址:https://github.com/gobysec/Goby/releases

vulmap

Vulmap是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏

最低0.47元/天 解锁文章
把小海蒂的名字还给我(师从小迪渗透)
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1628
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
AWVS API总结文档 可用于编写安全自动化测试
09-04
AWVS API总结文档 可用于编写安全自动化测试 绝对不是工具自身的API文档 是自己总结 市面收集 汇总的文档 本人亲测可用于安全自动化编写 好好利用物超所值
渗透测试自动化生成报告——ExportReport
weixin_43526443的博客
03-07 2035
本项目用于自动化生成报告。可根据项目需求,通过简单的提取变量来自定义报告模板。内附常见扫描器API/原报告(awvs、xray、goby)数据提取模块,可直接生成全新的自定义报告。 对有复杂的功能需求时,适用于有Python基础的人使用。 本项目内附二次开发所用的资料文档,欢迎各位提Pull Request。
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现
ierciyuan的博客
08-01 1072
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现。测试漏洞并反弹shell。
Nexus 3越权漏洞(CVE-2020-11444)
最新发布
m0_65150886的博客
02-18 553
在Nexus Repository Manager 3.x OSS / Pro <= 3.21.1Nexus 3的版本中,存在任意修改admin密码越权漏洞,攻击者可以用低权限用户登录获取sessionID越权进行修改admin用户的密码。Nexus Repository是一个开源的仓库管理系统,可搭建npm、maven等私服。3.F12,打开开发者模式,在应用程序中查找NXSESSIONID。1.访问http://ip:port,出现如下页面,开始实验。2.点击登录,输入默认账号密码进行登录。
正方教务系统新版sql注入漏洞利用工具
01-19
本人研究了/service.asmx中的其它接口,发现zfcwjk1存在同样的注入漏洞,特将注入方法写成工具供大家学习参考。 zfcwjk1似乎是一个财务类的确认接口,利用起来稍微麻烦点,需要一个目标学校的任意学号。 程序执行后...
软件漏洞挖掘Fuzz工具之三-入门篇.rar
07-29
总结了下产生Fuzz数据的方法,后续有机会我会通过相关工具介绍过程。 1 清楚包格式情况下,使用Fuzz工具描述包格式 2 根据sniffer包 ,自动生成测试数据 3 分析程序流程结构,针对各个分支构造Fuzz包 。 之前接受的...
12.4 漏洞利用工具包和勒索软件 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
本篇文章主要讨论了漏洞利用工具包和勒索软件的分析实战,使用 Wireshark 数据包分析工具对恶意软件的行为进行跟踪和分析。文章中首先介绍了 IDS 告警系统的概念和应用,接着讨论了如何使用 Sguil 控制台对 IDS 告警...
第03篇:提权辅助工具箱1
08-03
1、Linux提权辅助工具 8、在线提权漏洞检测平台 9、提权辅助网页
AWVS11 API接口文档
09-04
整理网络资源,根据网络上的相关文档结合自己的实际操作整理的AWVS11的API接口文档,官方的API接口文档是商务付费的,所以只能自己整理。我所使用的接口测试工具为curl,curl的具体安装和相关参数请度娘。核心参考文档请看附件。如果遇到了报文编码问题,请更换其他可以指定报文字符集的工具或用代码自己实现。
AWVS 11 接口文档
05-16
Acunetix Web Vulnerability Scanner 11是著名的网络安全漏洞扫描工具,功能强大。 这是根据网络以及自己操作过程中抓包整理而成的接口文档,非官方文档! 已基本包含所有操作,我们参考此文档做二次开发已没有问题。
小迪2019渗透测试视频-Nessus系统扫描安装及更新.wmv
02-27
小迪2019渗透测试视频-安全工具篇Nessus系统扫描安装及更新。ichunqiu上下载下来的都是加密的,这个资源不是你加密的,下载后直接就可以看。请放心下载。可关注,后续会持续更新一些视频
2022渗透测试-推荐一款漏洞扫描工具-AWVS安装与使用
保持微笑的博客
02-10 1万+
目录 AWVS简介 AWVS功能介绍 AWVS的安装 AWVS的使用 AWVS简介 AWVS是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞漏洞来审核Web应用程序的安全性。 AWVS功能介绍 WebScanner :核心功能,web安全漏洞.
xray与burp联动扫描
u011975363的专栏
05-12 2万+
上一篇博客主要描述利用xray挂代理进行被动扫描,但扫描器只能扫描出owasp top 10的漏洞,业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试 双管齐下,我们将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了。
5 款漏洞扫描工具:实用、强力、全面(含开源)
热门推荐
YF云飞的博客
08-03 4万+
5 款实用漏洞扫描工具概述&安装
xray与burp联动
LAngle9的博客
04-12 1369
拿到一个网站,配置hosts,ip和域名,拿到测试账号和密码。 登录,使用burp和xray. 配置burp顶级代理服务器
漏洞扫描器学习
weixin_45794666的博客
03-08 5541
工作原理 漏洞扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。 端口扫描原理: 端口扫描的原理其实非常简单,简单的利用操作系统提供的connect()系统调用(有各种协议),与目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()能够成功,否则,这个端口是不能用的,就是没有提供服务。 漏洞扫描原理 检测扫描目标主机中可能大量已知的漏洞,如果发现潜在漏洞可能,就报告扫描者。这种扫描器的威胁更大,因为黑客可以直接利用扫描结果进行
kali linux无线渗透工具集教程蓝牙篇大学霸内部资料
09-07
《kali linux无线渗透工具集教程蓝牙篇大学霸内部资料》是一份关于kali linux系统中用于蓝牙渗透测试的教程资料。蓝牙渗透测试是指利用蓝牙相关的安全漏洞来获取目标设备的信息或控制目标设备的过程。 这份资料详细介绍了kali linux中各种用于蓝牙渗透测试的工具和技术。首先,它会讲解蓝牙技术的基础知识,包括不同版本的蓝牙协议、蓝牙设备的工作原理等等。然后,它会介绍kali linux中常用的蓝牙渗透工具,如BlueZ、BTScanner、Bluesnarfing、Bluebugging等等。每个工具都会详细介绍其功能、使用方法以及常见的攻击场景。 这份资料还会教授读者如何通过蓝牙渗透测试来发现和利用蓝牙设备中的漏洞。它会介绍常见的蓝牙安全漏洞,如配对过程中的弱口令、蓝牙数据传输的加密问题等等。读者将学会如何使用kali linux中的工具来识别这些漏洞,并且利用它们来攻击目标设备。 总之,《kali linux无线渗透工具集教程蓝牙篇大学霸内部资料》是一份非常有用的教程,可以帮助读者学会使用kali linux中的蓝牙渗透工具进行安全测试和漏洞发现。它对于计算机安全专业的大学生来说尤为重要,可以帮助他们提升对蓝牙安全的了解和应对能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值