精华内容
下载资源
问答
  • Firefox是一个出自Mozilla组织的流行的web...一些插件对于渗透测试人员和安全分析人员来说是相当有用的。这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部。对于渗透测试中涉及到的相关...

    Firefox是一个出自Mozilla组织的流行的web浏览器。Firefox的流行并不仅仅是因为它是一个好的浏览器,而是因为它能够支持插件进而加强它自身的功能。Mozilla有一个插件站点,在那里面有成千上万的,非常有用的,不同种类的插件。一些插件对于渗透测试人员和安全分析人员来说是相当有用的。这些渗透测试插件帮助我们执行不同类型的攻击,并能直接从浏览器中更改请求头部。对于渗透测试中涉及到的相关工作,使用插件方式可以减少我们对独立工具的使用。在这篇简明的文章中,我们列举了一些流行的和有趣的Firefox插件,这些插件对渗透测试人员来说是非常有用的。这些插件是多样的,有信息收集工具,也有攻击。使用那些你认为有用的插件就可以了。这里面也有一些需要额外付费的插件,比如Dominator pro,它就需要从官方购买。请看下面的列表。对安全研究人员和渗透测试人员有用的Firefox 插件:

    1. FoxyProxy Standard

    FoxyProxy 是一个高级的代理管理插件。它能够提高firefox的内置代理的兼容性。这儿也有一些其它的相似类型的代理管理插件。但是它可以提供更多的功能。基于URL的参数,它可以从一个或多个代理之间转换。当代理在使用时,它还可以显示一个动画的图标。假如你要想看这个工具使用过的代理,你就可以查看它的日志。 链接地址:https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/

    2. Firebug

    展开全文
  • 某日看到论坛里有一款基于主机的漏洞扫描工具,用来查找主机上公开EXP的CVE。嗯嗯,我想还是叫提权辅助工具可能会更顺口一些。在我印象中,类似的工具其实还蛮多的,比如我们熟知的Linux_Exploit_Suggester和Windows...

    作为技术宅的我,日常最大的爱好就是逛论坛。某日看到论坛里有一款基于主机的漏洞扫描工具,用来查找主机上公开EXP的CVE。嗯嗯,我想还是叫提权辅助工具可能会更顺口一些。在我印象中,类似的工具其实还蛮多的,比如我们熟知的Linux_Exploit_Suggester和Windows-Exploit-Suggester。

    我花了一点时间,整理了 9 款提权辅助工具,不敢独享,特整理成文。如果你对提权有那么点想法,我相信这些工具是可以帮助到你的。


    1、Linux提权辅助工具

    Linux_Exploit_Suggester是一款根据操作系统版本号自动查找相应提权脚本的工具,如果不带任何参数运行该脚本的话,将执行uname -r返回的操作系统发行版本,或者手工输入-k参数查找指定版本号。

    github项目地址:https://github.com/InteliSecureLabs/Linux_Exploit_Suggester

    用法示例:

    $ perl ./Linux_Exploit_Suggester.pl -k 2.6.28

    2、Windows-Exploit-Suggester

    Windows-Exploit-Suggester是受Linux_Exploit_Suggester的启发而开发的一款提权辅助工具,用python开发而成,通过比对systeminfo生成的文件,从而发现系统是否存在未修复漏洞。

    github项目地址:https://github.com/AonCyberLabs/Windows-Exploit-Suggester

    用法示例:

    #查看系统可能存在的漏洞
    $ ./windows-exploit-suggester.py --database 2014-06-06-mssb.xlsx --systeminfo win7sp1-systeminfo.txt 
    
    $ ./windows-exploit-suggester.py --database 2014-06-06-mssb.xlsx --ostext 'windows server 2008 r2'

    3、gtfo

    gtfo是一个纯粹用python3编写的工具,用于搜索GTFOBins和LOLBAS上的二进制文件。

    github项目地址:

    https://github.com/mzfr/gtfo

    很明显,从以上描述里,我们知道这款工具并不是主角,需要重点关注的是GTFOBins和LOLBAS。

    GTFOBins:Linux命令提权辅助查询

    https://gtfobins.github.io/

    LOLBAS:Windows命令提权辅助查询

    https://lolbas-project.github.io/

    4、BeRoot

    BeRoot Project是一个利用后的工具,可以检查常见的错误配置,以找到提升我们特权的方法,该项目可在Windows,Linux和Mac OS上运行。

    github项目地址:https://github.com/AlessandroZ/BeRoot

    0941f4c8155996ee51260439ed1fbf49.png

    5、Vulmap

    Vulmap是一个开源的在线本地漏洞扫描程序项目。它由适用于Windows和Linux操作系统的联机本地漏洞扫描程序组成。

    Github项目地址:https://github.com/vulmon/Vulmap

    fa48134377382ad93b48ed5971746cf1.png

    6、WindowsVulnScan

    这是一款基于主机的漏洞扫描工具,查看查找主机上具有的CVE和具有公开EXP的CVE。

    github项目地址:https://github.com/chroblert/WindowsVulnScan

    5b11517d60ccc95eb510cec31f0839a8.png

    7、ATRoot Auxiliary v2.0

    基于java开发的提权辅助工具,支持双端加载,本地模式配置文件存放于本地软件目录下的conf目录;远程模式则可以更新配置文件。

    f7a0e23c0917443961b7fda7b167ee91.png

    8、在线提权漏洞检测平台

    一款为主流 Linux/Unix 和 Windows 系统提供精准且高效的操作系统脆弱性漏洞检测的专业化平台,基于其强大的安全检测能力,能够给出专业的修复建议,有效验证和加固网络资产漏洞。

    在线查询地址:

    https://detect.secwx.com/

    8ce0a3e8824c499eabb2217029847699.png

    9、提权辅助网页

    在Windows提权的时候,对比补丁找Exp很烦吧?老是忘记一些提权命令跟工具的语法很苦逼吧?没事,有了这款工具什么问题都解决~

    在线查询地址:http://bugs.hacking8.com/tiquan/

    7e3c85d3c382fd0a31f581b94580d71e.png
    展开全文
  • 本文首发于公众号:乌云安全,提供关于渗透测试、社会工程学、黑产的技术及资讯,关注该公众号回复关键词“教程”,获取渗透测试入门到精通实战教程。 如果你从事的行业是漏洞研究,逆向工程或者渗透测试,那么...

    本文首发于公众号:乌云安全,提供关于渗透测试、社会工程学、黑产的技术及资讯,关注该公众号回复关键词“教程”,获取渗透测试入门到精通实战教程。

    如果你从事的行业是漏洞研究,逆向工程或者渗透测试,那么Python语言你将值得拥有。它是一个具有丰富的扩展库和项目的编程语言。本文仅仅列出了其中的一小部分。下面列举的工具大部分是用Python写的,剩下的一部分是C语言库的Python实现,且他们很容易被Python所使用。其中有些有攻击性比较强的工具(如:渗透测试框架,蓝牙,web漏洞扫描器,等等)被遗漏了,因为这些工具的使用在我国仍然存在一些法律风险。

    网络:

    Scapy, Scapy3k: send, sniff and dissect
    and forge network packets. Usable interactively or as a library

    pypcap, Pcapy and pylibpcap: several different
    Python bindings for libpcap

    libdnet: low-level networking
    routines, including interface lookup and Ethernet frame transmission

    dpkt: fast, simple packet
    creation/parsing, with definitions for the basic TCP/IP protocols

    Impacket:
    craft and decode network packets. Includes support for higher-level
    protocols such as NMB and SMB

    pynids: libnids wrapper offering
    sniffing, IP defragmentation, TCP stream reassembly and port scan
    detection

    Dirtbags py-pcap: read pcap
    files without libpcap

    flowgrep: grep through
    packet payloads using regular expressions

    Knock Subdomain Scan, enumerate
    subdomains on a target domain through a wordlist

    SubBrute, fast subdomain
    enumeration tool

    Mallory, extensible
    TCP/UDP man-in-the-middle proxy, supports modifying non-standard
    protocols on the fly

    Pytbull: flexible IDS/IPS testing
    framework (shipped with more than 300 tests)

    调试与逆向工程:
    Paimei: reverse engineering
    framework, includes PyDBG, PIDA,
    pGRAPH

    Immunity Debugger:
    scriptable GUI and command line debugger

    mona.py:
    PyCommand for Immunity Debugger that replaces and improves on
    pvefindaddr

    IDAPython: IDA Pro plugin that
    integrates the Python programming language, allowing scripts to run
    in IDA Pro

    PyEMU: fully scriptable IA-32
    emulator, useful for malware analysis

    pefile: read and work with
    Portable Executable (aka PE) files

    pydasm:
    Python interface to the libdasm x86 disassembling library

    PyDbgEng: Python wrapper for the
    Microsoft Windows Debugging Engine

    uhooker:
    intercept calls to API calls inside DLLs, and also arbitrary
    addresses within the executable file in memory

    diStorm: disassembler library
    for AMD64, licensed under the BSD license

    python-ptrace:
    debugger using ptrace (Linux, BSD and Darwin system call to trace
    processes) written in Python

    vdb / vtrace: vtrace is a
    cross-platform process debugging API implemented in python, and vdb
    is a debugger which uses it

    Androguard: reverse
    engineering and analysis of Android applications

    Capstone: lightweight
    multi-platform, multi-architecture disassembly framework with Python
    bindings

    PyBFD: Python interface
    to the GNU Binary File Descriptor (BFD) library

    Fuzzing:
    Sulley: fuzzer development and
    fuzz testing framework consisting of multiple extensible components

    Peach Fuzzing Platform:
    extensible fuzzing framework for generation and mutation based
    fuzzing (v2 was written in Python)

    antiparser: fuzz testing and
    fault injection API

    TAOF, (The Art of Fuzzing)
    including ProxyFuzz, a man-in-the-middle non-deterministic network
    fuzzer

    untidy: general purpose XML fuzzer

    Powerfuzzer: highly automated and
    fully customizable web fuzzer (HTTP protocol based application
    fuzzer)

    SMUDGE

    Mistress:
    probe file formats on the fly and protocols with malformed data,
    based on pre-defined patterns

    Fuzzbox:
    multi-codec media fuzzer

    Forensic Fuzzing
    Tools:
    generate fuzzed files, fuzzed file systems, and file systems
    containing fuzzed files in order to test the robustness of forensics
    tools and examination systems

    Windows IPC Fuzzing
    Tools:
    tools used to fuzz applications that use Windows Interprocess
    Communication mechanisms

    WSBang:
    perform automated security testing of SOAP based web services

    Construct: library for parsing
    and building of data structures (binary or textual). Define your
    data structures in a declarative manner

    fuzzer.py
    (feliam):
    simple fuzzer by Felipe Andres Manzano

    Fusil: Python library
    used to write fuzzing programs

    Web:
    Requests: elegant and simple HTTP
    library, built for human beings

    HTTPie: human-friendly cURL-like command line
    HTTP client

    ProxMon:
    processes proxy logs and reports discovered issues

    WSMap:
    find web service endpoints and discovery files

    Twill: browse the Web from a command-line
    interface. Supports automated Web testing

    Ghost.py: webkit web client written
    in Python

    Windmill: web testing tool designed
    to let you painlessly automate and debug your web application

    FunkLoad: functional and load web
    tester

    spynner: Programmatic web
    browsing module for Python with Javascript/AJAX support

    python-spidermonkey:
    bridge to the Mozilla SpiderMonkey JavaScript engine; allows for the
    evaluation and calling of Javascript scripts and functions

    mitmproxy: SSL-capable, intercepting HTTP
    proxy. Console interface allows traffic flows to be inspected and
    edited on the fly

    pathod / pathoc: pathological daemon/client
    for tormenting HTTP clients and servers

    取证分析:
    Volatility:
    extract digital artifacts from volatile memory (RAM) samples

    Rekall:
    memory analysis framework developed by Google

    LibForensics: library for
    developing digital forensics applications

    TrIDLib, identify file types
    from their binary signatures. Now includes Python binding

    aft: Android forensic toolkit

    恶意代码分析:
    pyew: command line hexadecimal
    editor and disassembler, mainly to analyze malware

    Exefilter: filter file formats
    in e-mails, web pages or files. Detects many common file formats and
    can remove active content

    pyClamAV: add
    virus detection capabilities to your Python software

    jsunpack-n, generic
    JavaScript unpacker: emulates browser functionality to detect
    exploits that target browser and browser plug-in vulnerabilities

    yara-python:
    identify and classify malware samples

    phoneyc: pure Python
    honeyclient implementation

    CapTipper: analyse, explore and
    revive HTTP malicious traffic from PCAP file

    PDF文件分析:
    peepdf:
    Python tool to analyse and explore PDF files to find out if they can be harmful

    Didier Stevens’ PDF
    tools: analyse,
    identify and create PDF files (includes PDFiD, pdf-parser and make-pdf and mPDF)

    Opaf: Open PDF Analysis Framework.
    Converts PDF to an XML tree that can be analyzed and modified.

    Origapy: Python wrapper
    for the Origami Ruby module which sanitizes PDF files

    pyPDF2: pure Python PDF toolkit: extract
    info, spilt, merge, crop, encrypt, decrypt…

    PDFMiner:
    extract text from PDF files

    python-poppler-qt4:
    Python binding for the Poppler PDF library, including Qt4 support

    杂项:
    InlineEgg:
    toolbox of classes for writing small assembly programs in Python

    Exomind:
    framework for building decorated graphs and developing open-source
    intelligence modules and ideas, centered on social network services,
    search engines and instant messaging

    RevHosts: enumerate
    virtual hosts for a given IP address

    simplejson: JSON
    encoder/decoder, e.g. to use Google’s AJAX
    API

    PyMangle: command line tool
    and a python library used to create word lists for use with other
    penetration testing tools

    Hachoir: view and
    edit a binary stream field by field

    py-mangle: command line tool
    and a python library used to create word lists for use with other
    penetration testing tools

    其他有用的扩展库与工具:
    IPython: enhanced interactive Python
    shell with many features for object introspection, system shell
    access, and its own special command system

    Beautiful Soup:
    HTML parser optimized for screen-scraping

    matplotlib: make 2D plots of
    arrays

    Mayavi: 3D scientific
    data visualization and plotting

    RTGraph3D: create
    dynamic graphs in 3D

    Twisted: event-driven networking engine

    Suds: lightweight SOAP client for
    consuming Web Services

    M2Crypto:
    most complete OpenSSL wrapper

    NetworkX: graph library (edges, nodes)

    Pandas: library providing
    high-performance, easy-to-use data structures and data analysis
    tools

    pyparsing: general parsing
    module

    lxml: most feature-rich and easy-to-use library
    for working with XML and HTML in the Python language

    Whoosh: fast, featureful
    full-text indexing and searching library implemented in pure Python

    Pexpect: control and automate
    other programs, similar to Don Libes Expect system

    Sikuli, visual technology
    to search and automate GUIs using screenshots. Scriptable in Jython

    PyQt and PySide: Python bindings for the Qt
    application framework and GUI library

    相关书籍:
    Violent Python by TJ O’Connor. A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers

    Grey Hat Python by Justin Seitz:
    Python Programming for Hackers and Reverse Engineers.

    Black Hat Python by Justin Seitz:
    Python Programming for Hackers and Pentesters

    Python Penetration Testing Essentials by Mohit:
    Employ the power of Python to get the best out of pentesting

    Python for Secret Agents by Steven F. Lott. Analyze, encrypt, and uncover intelligence data using Python

    其他:
    SecurityTube Python Scripting Expert (SPSE) is an online course and certification offered by Vivek Ramachandran.

    SANS offers the course SEC573: Python for Penetration Testers.

    The Python Arsenal for Reverse Engineering is a large collection of tools related to reverse engineering.

    There is a SANS paper about Python libraries helpful for forensic analysis (PDF).

    For more Python libaries, please have a look at PyPI, the Python Package Index.

    参考链接:https://github.com/dloss/python-pentest-tools

    展开全文
  • 有几种技术可以识别软件和系统的漏洞,聪明的组织把它们放在他们的“安全工具箱”中,并使用各种测试工具的组合,包括: 静态分析安全测试(SAST) 动态分析安全测试(DAST) 源成分分析(SCA) 漏洞扫描器 渗透...

    有几种技术可以识别软件和系统的漏洞,聪明的组织把它们放在他们的“安全工具箱”中,并使用各种测试工具的组合,包括:

    • 静态分析安全测试(SAST)
    • 动态分析安全测试(DAST)
    • 源成分分析(SCA)
    • 漏洞扫描器
    • 渗透测试

    通过自动化工具提高安全性的动机是将软件开发生命周期(SDLC)中尽早识别和修复漏洞的工作左移。当应用程序接近发布时,修复和补救变得更加复杂。图1显示了随着SDLC的进展,修复漏洞的成本如何急剧增加。

    图1:随着SDLC的进展,修复漏洞的成本增加。

    要深入了解软件安全的经济性,请查看《安全软件的商业价值》白皮书。本篇文章主要介绍将静态分析安全测试作为组织安全实践的一部分。

    静态分析安全测试

    SAST工具不需要运行中的应用程序,因此可以在开发生命周期的早期使用,因为修复成本很低。在最基本的层面上,SAST的工作原理是分析源代码,并根据一套规则进行检查。SAST工具通常与识别漏洞相关,它为开发人员提供早期警报,提醒他们注意不良的编码模式,这些模式会导致漏洞、违反安全编码策略,或缺乏与工程标准的一致性,从而导致不稳定或不可靠的功能。

    有两种主要的分析类型用于识别安全问题。

    • 流分析
    • 模式分析

    流分析

    在流分析中,工具对源代码进行分析,了解代码的底层控制流和数据流。

    图2:静态分析安全测试--流分析

    其结果是应用程序的中间表示或模型。这些工具对该模型运行规则或检查器,以识别导致安全漏洞的编码错误。例如,在 C 或 C++ 应用程序中,规则可能会识别字符串副本,然后遍历该模型,以确定源缓冲区是否可能大于目标缓冲区。如果是这样,就会导致缓冲区溢出漏洞。

    模式分析

    在安全关键的代码中避免某些构造是现代软件工程标准的基础,如AUTOSAR C++14MISRA C 2012和联合攻击战斗机(JSF)。这些标准防止了误读、误解或错误地实现不可靠代码的可能性。

    模式分析可以帮助开发人员在安全或保障的背景下使用更安全的开发语言子集,禁止使用首先允许漏洞发生的代码构造。一些规则可以通过检查语法来识别错误,就像文字处理器中的拼写检查器一样。一些现代工具可以检测与不良编码结构相关的微妙模式。

    SAST的优势

    每种测试方法都有其优势。许多组织过度关注DAST和渗透测试。但使用SAST比其他测试技术有几个优势

    代码覆盖率

    测试的代码量是软件安全的一个关键指标。漏洞可能存在于代码库的任何部分,未经测试的部分可能使应用程序暴露在攻击之下。

    SAST工具,特别是那些使用模式分析规则的工具,可以提供比动态技术或手动流程高得多的代码覆盖率。它们可以访问应用程序的源代码和应用程序的输入,包括在用户界面中没有暴露的隐藏输入。

    根源分析

    SAST工具促进了漏洞的高效补救。静态分析安全测试可以轻松识别引入错误的精确代码行。与开发人员的集成开发环境的集成可以加速补救SAST工具发现的错误。

    提高技能

    开发人员在IDE中使用SAST工具时,会收到关于其代码的即时反馈。这些数据可以强化和教育他们的安全编码实践。

    操作效率

    开发人员在开发生命周期的早期使用静态分析,包括直接从IDE中对单个文件进行分析。在SDLC的早期发现错误,大大降低了补救的成本。它首先防止了错误的发生,因此开发人员不必在以后再去寻找和修复它们。

    如何从SAST中获得最大收益

    SAST是一种全面的测试方法,确实需要一些最初的努力和动机来成功地采用它。

    尽早部署SAST

    虽然团队可以在SDLC早期使用SAST工具,但有些组织选择将分析工作推迟到测试阶段。即使分析一个更完整的应用程序可以进行程序间的数据流分析,但使用SAST“左移”,直接从IDE中分析代码,可以发现漏洞,如输入验证错误。还可以让开发人员在提交代码进行构建之前进行简单的修正。这有助于避免后期周期性的安全变更。

    在敏捷和CI/CD管道中使用SAST

    SAST分析是被误解的。许多团队认为它很耗时,因为它要对整个项目的源代码进行深入分析。这可能导致组织认为SAST与快速开发方法论不兼容,这是没有根据的。静态分析安全测试的结果几乎是即时的,可以在开发人员的IDE中获得,提供即时反馈,并确保避免漏洞。现代SAST工具执行增量分析,只查看两次不同构建之间变化的代码的结果。

    处理嘈杂的结果

    传统的静态分析安全测试工具通常包括许多“信息”结果和围绕正确编码标准的低严重性问题。现代工具,如Parasoft提供的工具,允许用户选择使用哪些规则/检查器,并根据错误的严重程度过滤结果,隐藏那些不值得调查的结果。许多来自 OWASP、CWE、CERT 等的安全标准都有风险模型,有助于识别最重要的漏洞。你的SAST工具应该使用这些信息来帮助你关注最重要的东西。用户可以更多的根据其他背景信息来过滤发现,比如项目的元数据,代码的年龄,以及负责代码的开发人员或团队。像Parasoft这样的工具提供了使用这些信息与人工智能(AI)和机器学习(ML)来帮助进一步确定最关键的问题。

    关注开发者

    成功的部署通常以开发人员为中心。它们提供了开发人员在软件中构建安全所需的工具和指导。这在敏捷DevOps/DevSecOps环境中非常重要,因为在这种环境中,快速反馈对于保持速度至关重要。IDE集成允许直接从开发人员的工作环境中进行安全测试——在文件级、项目级,或者仅仅是评估已更改的代码。

    使用智能规则配置

    在分析软件的安全问题时,一个尺寸不适合所有组织。重要的是,规则/检查程序要解决对特定应用程序至关重要的特定问题。刚开始测试安全的组织可能希望将规则限制在最常见的安全问题上,如跨站点脚本和SQL注入。其他组织根据PCI DSS等法规有特定的安全要求。寻找允许符合你的特定需求的受控规则/检查器配置的解决方案,而不是通用配置。

    预防胜于发现

    将安全性构建到你的应用程序中。这比在SDLC结束时,通过在已完成的应用程序上栓上安全螺栓来确保应用程序的安全要有效得多。就像你不能在应用程序中测试质量一样,安全也是如此。SAST是早期检测的关键,通过从一开始就编写安全代码来防止安全漏洞。

    SAST工具使组织能够从开发的早期阶段开始就接受软件安全,并为他们的软件工程师提供构建安全软件所需的工具和指导。

    展开全文
  • 工欲善其事必先利其器,优秀的工具和资源,是每一个渗透测试专家工具箱中必不可少的居家旅行必备品。 渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作。当然,是在恶意黑客找到这些漏洞之前。而这些业内...
  • 工具只可用于安全测试,勿用于非法用途! 工具定位 边界打点后的自动化内网工具,完全与服务端脱离。服务端只用于生成poc,网段信息等配置。 内网渗透痛点 目前已有的扫描器,依赖库较多,体积过于庞大,在内网...
  • 其目标是开即用地编排和轻松自动化一堆安全测试工具。 总览 有关其他文档方面的信息,请访问我们的: 项目目的 确保应用程序安全的典型方法是在项目中的某个时候雇用安全专家(也称为渗透测试人员)来检查应用...
  • 2020年12月8日,安全公司FireEye发布博客表示,其内部网络遭到某高级组织攻击,FireEye红队工具箱遭窃取。 据FireEye称,此次被盗的红队工具主要用来为其客户提供基本的渗透测试服务,其中并不包含 0day 漏洞的...
  • Safe3 Vul Scanner v1.2 免费版是保护伞网络推出的网站安全性检测工具,传统的方法往往依靠渗透测试 (黑箱、白箱和灰测试),这往往局限于测试人员的技术水准高低。 目前,大多是采用一系列已知攻击手段进行手工...
  • 通过点击并单击工具箱并以方便的方式显示所有工具输出,它可以使测试人员节省时间。如果花费较少的时间来设置命令和工具,则可以将更多的时间花费在分析结果上。 二、资源装备 1.安装好Kali Linux的虚拟机 2.模拟...
  • zANTI是一款Android平台下的渗透...根据机友要求,添加DS渗透工具箱。新增插件包,PDF指南。 本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! 软件名称 zANTI – Android N
  • SSJSSJ是一个功能强大的脚本,这个脚本可以通过Docker来将你每天使用的Linux发行版系统(比如Ubuntu和Debian等等)打造成一个安装了成百上千渗透测试和安全取证工具的工具箱。技术细节SSJ可以在我们的Linux发行版系统...
  • 安卓黑客工具

    2016-05-19 17:15:00
    Hackode是最好用的黑客工具之一,它更像是一款工具箱,其功能可以满足许多人群的需求:如渗透测试人员,白帽子,IT管理员和网络安全专家等。目前它可以完成以下任务: 勘察(Reconnaissance),谷歌黑客(Google ...
  • Safe3 是一个网站安全性检测工具,传统的方法往往依靠渗透测试(黑箱、白箱和灰测试),这往往局限于测试人员的技术水准高低。现在,大多是采用一系列已知攻击手段进行手工检测,且工作量巨大,由于时间关系以及...
  • Kali是一套用于安全渗透(黑客)的Linux发行版, 好处在于, 系统内置了大量的安全渗透方面的软件, 新手可以免于配置, 开即用! 即使不打算做安全, 开阔一下眼界也是好的~ 动图: 内置工具 Kali安装的过程中, 给...
  • 一、简介 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的...二、工具箱 1.Target(目标)——显示目标目录结构 2.Proxy(代理)——拦截HTTP/S的代理服
  • BurpSuite 学习使用教程

    2020-07-16 22:00:00
    一、简介: Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,...二、工具箱 1.Target(目标)——显示目标目录结构的的一个功能 2.Proxy(代理)——是一个拦
  • 网络爬虫测试软件

    2015-05-08 18:40:41
    b漏洞扫描系统 是保护伞网络推出的网站安全性检测工具,传统的方法往往依靠渗透测试(黑箱、白箱和灰测试),这往往局限于测试人员的技术水准高低。 系统适用领域: 国内金融、证券、银行、电子政务、电子商务、...
  • Safe3 Web Vul Scanner 是保护伞网络推出的网站安全性检测工具,传统的方法往往依靠渗透测试 (黑箱、白箱和灰测试),这往往局限于测试人员的技术水准高低。
  • Kali 下的很多工具软件都可以安装在大多数的 Linux 发行版中,Offensive Security 团队在 Kali 系统的开发过程中投入大量的时间精力来完善这个用于渗透测试和安全审计的 Linux 发行版。Kali Linux 是基于 Debian 的...
  • Kali Linux 系统可以说是在...Kali 下的很多工具软件都可以安装在大多数的 Linux 发行版中,Offensive Security 团队在 Kali 系统的开发过程中投入大量的时间精力来完善这个用于渗透测试和安全审计的 Linux 发行版。
  • Kali 下的很多工具软件都可以安装在大多数的 Linux 发行版中,Offensive Security 团队在 Kali 系统的开发过程中投入大量的时间精力来完善这个用于渗透测试和安全审计的 Linux 发行版。Kali Linux 是基于 Debian 的...
  • Kali 下的很多工具软件都可以安装在大多数的 Linux 发行版中,Offensive Security 团队在 Kali 系统的开发过程中投入大量的时间精力来完善这个用于渗透测试和安全审计的 Linux 发行版。 Kali Linux 是基于 Debian...
  • MSDN杂志2008年5月刊

    2008-09-08 23:29:52
    本月的“工具箱”专栏将介绍数据库日志、Joel Spolsky 的博客、打印代码项目以及 ASP.NET 读物。 CLR 全面透彻解析: 及早并经常评量性能,第 2 部分 本系列共分为两个部分,在第二部分中,Vance Morrison 深入介绍...

空空如也

空空如也

1 2
收藏数 36
精华内容 14
关键字:

安全渗透工具箱