安全插件
|
|
web安全,工具安装指南
|
366

1157 字
|
7 分钟
本文最后更新于5 天前,其中的信息可能已经过时,如有错误请发送邮件到quan@stu.sicau.edu.cn

One For All

用于子域名查询,能涵盖三个方面的内容:①DNS数据②证书查询③枚举解析
地址:https://github.com/shmilylty/OneForAll
使用演示:
python3 oneforall.py –target example.com run
python3 oneforall.py –targets ./example.txt run

GitHack

GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。
地址:https://github.com/lijiejie/GitHack
使用演示:python GitHack.py http://www.openssl.org/.git/

CVS

CVS是一个C/S系统,多个开发人员通过一个中心版本控制系统来记录文件版本,从而达到保证文件同步的目的。主要是针对 CVS/Root以及CVS/Entries目录,直接就可以看到泄露的信息。
地址:https://github.com/kost/dvcs-ripper
使用演示:rip-cvs.pl -v -u http://www.example.com/CVS/

SVNHack

一个Svn信息泄露辅助工具,可以使用这个脚本列取网站目录,读取源码文件以及下载整站代码。
地址:https://github.com/callmefeifei/SvnHack
使用演示:
列取目录:根目录 python SvnHack.py -u http://x.x.x.x/.svn/entries指定目录 python SvnHack.py -u http://x.x.x.x/.svn/entries -d scripts
读源码:指定文件 python SvnHack.py -u http://x.x.x.x/.svn/entries -d scripts -r upd.js
下载整站:python SvnHack.py -u http://x.x.x.x/.svn/entries —download

DS Store

这是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。
地址:https://github.com/lijiejie/ds_store_exp
使用演示:python ds_store_exp.py http://www.example.com/.DS_Store

Unexpected_information(BP插件)

用来标记请求包中的一些敏感信息、JS接口和一些特殊字段,防止我们疏忽了一些数据包,使用它可能会有意外的收获信息。
地址:https://github.com/ScriptKid-Beta/Unexpected_information

HaE(BP插件)

基于BurpSuite插件JavaAPI开发的请求高亮标记与信息提取的辅助型插件。该插件可以通过自定义正则的方式匹配响应报文或者请求报文,可以自行决定符合该自定义正则匹配的响应请求是否需要高亮标记、信息提取。
地址:https://github.com/gh0stkey/HaE

FindSomething(浏览器插件)

暂时上传不了,可以自己在网上搜罗一下

JSFinder

一款用作快速在网站的js文件中提取URL,子域名的工具
但是根据小迪说,这个有点老了,不好用
地址:https://github.com/Threezh1/JSFinder

URLFinder

一款用于快速提取检测页面中JS与URL的工具。功能类似于JSFinder,但JSFinder好久没更新了
地址:https://github.com/pingc0y/URLFinder

JSINFO-SCAN

递归爬取域名(netloc/domain),以及递归从JS中获取信息的工具
地址:https://github.com/p1g3/JSINFO-SCAN

ffuf

功能强大的模糊化工具,用它来FUZZ模糊化js文件。找到更多的js文件分析更多的信息
地址:https://github.com/ffuf/ffuf
字典地址:https://wordlists.assetnote.io/
使用演示:ffuf.exe -w wordlist.txt -u http://www.example.org/FUZZ -t 200(表示从这里FUZZ)

Packer-Fuzzer

一款针对Webpack等前端打包工具所构造的网站进行快速传递、高效安全检测的扫描工具。针对JS框架开发打包器Webpack的检测。
Webpack:一款打包工具,一般在js打包时会遇到,使用Wappalyzer时会出现在杂项中。
地址:https://github.com/rtcatc/Packer-Fuzzer
使用演示:python PackerFuzzer.py -u http://example.org

wafw00f

用于检测防火墙的一个工具
地址:https://github.com/EnableSecurity/wafw00f

fuckcdn

原理就是将对面 cdn 的流量耗完,这样就能显示出真实 IP
1、判断加速厂商
2、IP 库筛选地址段
3、配置范围扫描
厂商查询:https://tools.ipip.net/cdn.php
工具项目:https://www.cz88.net/geo-public(IP 库收集)||https://github.com/Tai7sy/fuckcdn
地址:https://github.com/Tai7sy/fuckcdn

Gotoscan

指纹识别
地址:https://github.com/newbe3three/gotoscan

wedecode

用于小程序反编译
教程:见小迪安全15day

ENScan

用于企业信息查询
地址:https://github.com/wgpsec/ENScan_GO

文末附加内容
插件
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
小迪安全目录

							
							

							
小迪安全1day

							
							

							
小迪安全3day

							
							

							
记第一次使用WP搭建博客遇到的一些问题

							
							

							
小迪安全4-5day

							
							

							
小迪安全2day

							
							

							
小迪安全10day

							
							

							
Git教程

							
							

							
安全工具

							
							

							
小迪安全7day