精华内容
下载资源
问答
  • WEB攻击工具库(持续更新)

    千次阅读 2016-07-14 23:00:11
    信息收集工具集 域名信息收集工具 bing-ip2hosts,SubBrute
    • 信息收集工具集

      • 域名信息收集工具

        • bing-ip2hosts,SubBrute,dnsenum,dnsmap

      • 网站信息收集

        • dnstracer

    • 数据库攻击工具集

      • 数据库SQL注入工具
        • BBQSQL
    展开全文
  • 御剑web后台扫描工具

    2020-03-16 12:26:16
    御剑WEB后台扫描器1.5,集成了批量扫描,检测注入,编码转换,MD5解密,用于大批量扫描网站后台国产软件,简单方便,扫描能力取决于字典大小,适合新手使用
  • Web渗透攻击利器之更多工具收录

    万次阅读 2018-11-25 23:22:04
    所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。 P...

    中华蚁剑

    https://blog.csdn.net/zrools/article/details/50884603

    穿山甲

    Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。

    所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。

    Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。

    过去有许多Sql注入工具,不过有些功能不完全,支持的数据库不够多,或者是速度比较慢。但是,在Pangolin发布以后,这些问题都得到了解决。Pangolin也许是目前已有的注入工具中最好的之一。

    详情见:https://blog.csdn.net/yefan2222/article/details/7086833

    御剑

    御剑也是一款好用的网站后台扫描工具,图形化页面,使用起来简单上手。

    御剑后台扫描枚举可能的后台路径 找到后台看是啥系统可以爆库或者利用漏洞进后台就简单多了

    1.输入目标站点的url,点击扫描

    2.扫描结果分析:
    HTTP响应值为200,代表页面可以访问
    双击链接http://../index.asp,进入目标站点主页
    双击链接http://../admin/login.asp, 进入后台管理页面  (扫描网站登录后台)
    双击链接http://../FCKeditor/admin_login.html,该站点的编辑器类型为FCK以及版本号  (扫描编辑器登录后台)

    wwwscan

    wwwscan是一款网站后台扫描工具,简单好用又强大。它有命令行和图形界面两种。

    使用方法也很简单,下面讲一下命令行的用法。

    wwwscan.exe  options   ip/域名

    -p    :   设置端口号
    -m   :   设置最大线程数
    -t     :   设置超时时间
    -r     :   设置扫描的起始目录
    -ssl :    是否使用SSL
    例:

    wwwscan.exe  www.baidu.com  -p  8080  -m  10  -t  16
    wwwscan.exe  www.baiadu.com -r  "/test/"   -p  80
    wwwscan.exe  www.baidu.com  –ssl

    明小子

    明小子主要功能为“SQL注入猜解”,手工猜测太过繁琐,使用明小子可以检测是否存在注入点,猜解表名,列名和字段数据(用户名和密码)

    使用:

    1.单击工具中的“SQL注入猜解”,输入网站地址,检测是否存在注入点。

    2.点击“猜解表名”,猜出数据库表名

    3.选定猜解出的表名,猜解表中字段名和字段值

    4.猜解后台地址,使用猜到的用户名和密码进行登陆

    啊D注入工具

    1、扫描注入点

    使用啊D对网站进行扫描,输入网址就行

    2、SQL注入检测

    检测已知可以注入的链接

    3、管理入口检测

    检测网站登陆的入口点,如果已经得到用户名和密码的话,可以用这个扫描一下,看能否找到后台进行登陆

    4、浏览网页

    可以用这个浏览网页,如果遇到网页中存在可以注入的链接将提示

    中国菜刀

    下载地址:http://www.onlinedown.net/soft/588101.htm

    1.中国菜刀支持的服务端脚本:PHP、ASP,主要用于连接一句话木马。

    2.主要功能有:文件管理(有足够的权限时候可以管理整个磁盘/文件系统),数据库管理,虚拟终端。

    常用的一句话木马:

    asp的一句话是:<%eval request("lubr")%>

    php的一句话是:<?php @eval($_POST['lubr']);?>

    使用:

    1.上传一句话木马,记录木马地址,例如http://192.168.1.3:8080/up/images/lubr.php
    2.菜刀连接:

    进入中国菜刀目录,点击chopper.exe
    右键点击添加,在地址栏中添加上传文件路径,右侧添加密码lubr, 脚本类型选择PHP


    右键点击文件管理,查看目标服务器的完整目录,可进行创建文件,修改文件,上传下载等操作,如上传大马。

     

    dirbuster
     

    DirBuster是Owasp(Open Web Application Security Project )开发的一款专门用于探测网站目录和文件(包括隐藏文件)的工具。由于使用Java编写,电脑中要装有JDK才能运行。

    配置

    点击Options—Advanced Options打开如下配置界面

    在这里可以设置不扫描文件类型,设置遇到表单自动登录,增加HTTP头(Cookie……),

    以及代理设置,超时链接设置,默认线程,字典,扩展名设置

    开始扫描:

    扫描完成之后,查看扫描结果。可以树状显示,也可以直接列出所有存在的页面


    cansina

     

    • 多线程
    • HTTP/S 代理支持
    • 数据持久性 (sqlite3)
    • 多后缀支持 (-e php,asp,aspx,txt…)
    • 网页内容识别 (will watch for a specific string inside web page content)
    • 跳过假404错误
    • 可跳过被过滤的内容
    • 报表功能
    • 基础认证

    cansina常见参数及用法

    ​​​​​​​-u: 目标url地址
    -p:指定字典文件
    -b:禁止的响应代码如果 404 400 500 
    -e:只扫php或asp或aspx扩展。
    -c:在网页中查找一些关键字。也可以添加多个关键字。
    -d:就是查看文件中是否有要找的字符,如果没有将自动返回404特征码。
    -D:自动检查并返回特定的404 200等
     
     
    常规扫描:python  cansina.py  -u  www.baidu.com  -p  key.txt 
     
    自定义文件类型扫描:python cansina.py  -u  www.baidu.com  -p  key.txt  -e  php
     
    特定内容扫描:python cansina.py  -u  www.baidu.com  -p  key.txt  -c  admin
    
    

    展开全文
  • web渗透测试

    千人学习 2018-05-08 18:13:51
    Web渗透测试教程,该课程侧重于讲解Web安全,并通过实验详细分析常见的十种Web漏洞、漏洞利用过程等。
  • 御剑web安全检测工具

    热门讨论 2012-06-20 06:00:35
    安全检测,哈客论坛出品的一个不错综合性很好的黑客WEB安全检测工具欢迎下载!
  • 收费版本:可以主动向web扫描获取漏洞 不过大家穷都用免费的 在学习Burpsuit之前,我先说一下什么是代理,就是代理网络用户去取得网络信息,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,...

    免费版本:渗透大牛都用来修改包和监视包(被动的)

    收费版本:可以主动向web扫描获取漏洞

    不过大家穷都用免费的

     

    在学习Burpsuit之前,我先说一下什么是代理,就是代理网络用户去取得网络信息,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。形象地说:它是网络信息的中转站。一般情况下,我们使用浏览器直接去连接其他internet 站点取得网络信息时,必须送出请求信号来得到回答,然后对方再把信息以字节方式传送回来。代理服务器是介于浏览器和web 服务器之间的一台服务器,有了它之后浏览器不是直接到we b 服务器去取回网页,而是向代理服务器发出请求,请求信号会先送到代理服务器,由代理服务器取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲功能,就好像一个大的cach e,它有很大的存储空间,不断将新取得的数据储存到本机的存储空间,如果浏览器所请求的数据在它本机的空间已经存在而且是最新的,那么它就不重新从we b 服务器取数据,而直接将存储器上的数据传送给用户,这样就能显著提高浏览速度和效率。     
     

    一:简介      

    Burpsuite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的Burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。它主要用来做安全性渗透测试。其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。
     

    二:工具栏介绍

    1.Target(目标)——显示目标目录结构的的一个功能

    2.Proxy(代理)——是一个拦截HTTP/S的代理服务器(抓包),作为一个在浏览器和目标应用程序之间的中间人,允许你拦 截,查看,修改在两个方向上的原始数据流。

    3.Spider(爬虫)——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。

    4.Scanner(扫描器)[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞。

    5.Intruder(入侵)——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数      据,以及使用fuzzing 技术探测常规漏洞。

    6.Repeater(中继器)——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。

    7.Sequencer(会话)——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具。

    8.Decoder(解码器)——是一个进行手动执行或对应用程序数据者智能解码编码的工具。

    9.Comparer(对比)——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。10.Extender(扩展)——可以让你加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suit的功能。
    11.Options(设置)——对Burp Suite的一些设置

     

     三:功能

    截获代理– 让你审查修改浏览器和目标应用间的流量。

      爬虫 – 抓取内容和功能

      Web应用扫描器 –自动化检测多种类型的漏洞

      Intruder – 提供强大的定制化攻击发掘漏洞

      Repeater – 篡改并且重发请求

      Sequencer –测试token的随机性

      能够保存工作进度,以后再恢复

    插件*–  你可以自己写插件或者使用写好的插件,插件可以执行复杂的,高度定制化的任务

    *表示需要Burp Suite Pro授权。
     

     四:截取代理具体步骤

    第一步:终端打开burpsuite 

      第二步:建立代理监听(Proxy–> Options功能下)。我的设置为了默认值localhost (127.0.0.1),端口为8080。

       第三步:到浏览器的网络连接设置处手动配置代理设置。

    记住,软件设置的端口和IP一定要和浏览器一致。

     

     

    第四步:现在可以访问我们要测试的应用,然后看到发送的所有请求了。到Proxy –> Intercept标签页,然后确保截获功能开启(“Intercept is on”),然后就能看到所有的请求了。

     

    展开全文
  • Web攻击几个工具

    千次阅读 2012-05-29 19:29:18
    在对Web站点进行攻击时,可能会需要用到的一些工具,仅作记录并供童鞋们查阅。   1、根据IP地址查找同一台服务器上服务的所有站点:http://sameip.org/ip/站点IP地址,更多功能可到http://sameip.org/站点上去。 ...

    在对Web站点进行攻击时,可能会需要用到的一些工具,仅作记录并供童鞋们查阅。

     

    1、根据IP地址查找同一台服务器上服务的所有站点:http://sameip.org/ip/站点IP地址,更多功能可到http://sameip.org/站点上去。

    2、DNS查询的工具 Who.is(当然还有其他的一些查询的) ,通过查询定位站点管理员的相关信息。

    3、Backtrack5   大量 安全测试 渗透测试工具

    4、nmap 端口扫描工具

    5、sqlinject 顾名思义

    6、俄罗斯WEB安全工具w3af   w3af是一个网页程序攻击及审计框架程序

    7、sqlmap

    8、nc端口监听工具

    9、exploit-db.com 溢出漏洞 exp等站点

    10、John the ripper hash破解工具

     

     

    展开全文
  • 尽管采用了安全的编码技术并使用了漏洞检测工具,但XSS仍保留在许多Web应用程序中,因为该方法非常复杂,方法的实现不正确,缺乏漏洞知识。 在本文中,我们调查了XSS攻击,预防基于存储的XSS和基于DOM的XSS的原因和...
  • web漏洞攻击.doc

    2020-03-31 14:00:43
    Web应用攻击是攻击者通过浏览器或攻击工具,在URL或者其它输入区域(如表单等),向Web服务器发送特殊请求,从中发现Web应用程序存在的漏洞,从而进一步操纵和控制网站,查看、修改未授权的信息。
  • 常见的六种web攻击

    千次阅读 2019-09-05 15:26:49
    常见的六种web攻击 一、XSS XSS(跨脚本攻击):指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击,即恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该...
  • 破壳Web扫描安全工具

    2018-08-01 18:54:43
    一款用于扫描网站的安全工具,扫描并检测网站中存在的漏洞,该程序能检测SQL注入漏洞,跨网站脚本攻击漏洞等一系列网站漏洞
  • 常见几种web攻击方式和防御方法

    千次阅读 2019-08-04 16:23:35
    SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入...
  • 常见的几种web攻击方式及原理

    千次阅读 2018-07-06 10:33:08
    常见的几种web攻击方式 SQL注入攻击 重定向攻击 上传文件攻击 Dos攻击(Denial of Service attack) 跨站点请求伪造(CSRF,Cross-Site Request Forgeries) XSS攻击(Cross-Site scripting) 常见的web攻击...
  • web攻击详解

    千次阅读 2017-03-03 20:15:17
    转载自贤生博客 » Web常见几种攻击与预防方式 DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或网络无法提供正常的服务。最常见的DoS...
  • 其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助学生和教师在受控班级中学习Web应用程序安全性。房间环境。 DVWA的目的是通过简单易用的...
  • 其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助学生和教师在受控班级中学习Web应用程序安全性。房间环境。 DVWA的目的是通过简单易用的...
  • Kali Linux 网络安全渗透测试

    万人学习 2019-06-02 10:28:53
    为什么学网络安全? 1. 市场巨大 每年各安全厂商收入高达400亿左右,随着5G的发展,万物互联时代,市场将进一步扩大。 2. 薪资高 网安人才的匮乏,用人开出招聘薪资往往高于求职者的预期。 3. 靠能力说话 在网络安全...
  • 前言公司的安全管理员一般度知道因特网上有一些恶意群体,他们会持续不断的寻找对网络进行渗透的方式。作为防御,管理员要采取一些安全措施,...本小节介绍的工具将会包含Kali LInux中的方法,用于绕过位于远程位...
  • 常见的Web攻击.md

    千次阅读 多人点赞 2020-05-06 21:52:16
    8.CSRF攻击 CSRF(Cross Site Request Forgery)攻击,即跨站请求伪造,是一种常见的Web攻击。 攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册...
  • 工具能够对Web日志进行安全分析,可快速从Web日志中发现可疑的恶意攻击行为,并自动识别攻击者IP所在物理位置,最后生成可读性好的安全分析报告,便于安全人员分析攻击者的入侵过程。
  • 简析web注入攻击

    千次阅读 2019-05-21 14:35:02
    注入是web程序最古老的和最危险的攻击之一,它们能导致数据被偷,数据丢失,数据完整性丢失,dos ,甚至系统沦丧。主要产生原因是对用户输入验证不足。 这种攻击方式是web安全的主要问题之一,在OWASP Top 10 web...
  • web日志分析工具

    2018-11-27 09:06:53
    工具web日志分析的好工具,可以帮助安全管理人员分析日志内容,找到可疑地址和ip,并且自动分析攻击类型。
  • 常用Web安全扫描工具合集

    千次阅读 多人点赞 2021-04-26 00:26:48
    初入门时,喜欢将目标站点直接丢扫描器,慢慢等扫描结果,极度依赖Web扫描器;而有一些漏洞高手,善于运用运用各种工具但并不依赖工具,经常可以找到扫描工具发现不了的漏洞。一款好用的Web扫描器...
  • 在众多Web2.0攻击里,Flash Web攻击算是独树一帜了。本议题会完全剖析这类攻击的关键技术点;分享这类漏洞的众多利用思路,包括用户隐私获取、篡改、持久性权限劫持、蠕虫攻击等;还会分享这类漏洞的挖掘思路,包括...
  • DOS攻击工具介绍

    千次阅读 2020-03-24 10:11:49
    DoS(Denial Of Service)攻击是指故意的...然而随着网络上免费的可用DDoS工具增多,DoS攻击也日益增长,下面介绍几款Hacker常用的DoS攻击工具。 特别提示:仅用于攻防演练及教学测试用途,禁止非法使用。 1、卢瓦(LO...
  • 两款实用的DDos攻击工具

    万次阅读 多人点赞 2019-04-04 10:34:02
    两款实用的DDos攻击工具 2018-02-22Network•Security865 之前为了重现某个bug,需要对网络设备进行ddos攻击测试,同时也是对设备的网络攻击防护功能进行抗压测试。临阵磨枪,google了两款攻击工具,windows平台的...
  • Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、...
  • Web日志安全分析工具

    2014-10-25 16:45:30
    1.支持检测多种流行的攻击类型,并自动识别攻击者IP所在物理位置 2.支持自定义攻击特征库,如添加攻击类型和攻击特征 3.生成人性化的分析报告,便于分析攻击者的入侵过程
  • 使用grep分析web攻击日志

    千次阅读 2020-07-10 09:11:33
    当企业发生web应用发生网络异常、可能存在web攻击的时候,需要排查分析web服务器和相关web日志,确认web应用是否被黑客攻击了,攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 93,491
精华内容 37,396
关键字:

web攻击工具