信息收集工具集

域名信息收集工具

bing-ip2hosts，SubBrute，dnsenum，dnsmap 

网站信息收集

dnstracer 

数据库攻击工具集

数据库SQL注入工具 
BBQSQL

在对Web站点进行攻击时，可能会需要用到的一些工具，仅作记录并供童鞋们查阅。
 
1、根据IP地址查找同一台服务器上服务的所有站点:http://sameip.org/ip/站点IP地址，更多功能可到http://sameip.org/站点上去。
2、DNS查询的工具 Who.is（当然还有其他的一些查询的） ，通过查询定位站点管理员的相关信息。
3、Backtrack5   大量 安全测试 渗透测试工具
4、nmap 端口扫描工具
5、sqlinject 顾名思义
6、俄罗斯WEB安全工具w3af   w3af是一个网页程序攻击及审计框架程序
7、sqlmap 
8、nc端口监听工具
9、exploit-db.com 溢出漏洞 exp等站点
10、John the ripper hash破解工具
 
 

经常听到有朋友问，有没有比较好用的web日志安全分析工具？
首先，我们应该清楚，日志文件不但可以帮助我们溯源，找到入侵者攻击路径，而且在平常的运维中，日志也可以反应出很多的安全攻击行为。
一款简单好用的Web日志分析工具，可以大大提升效率，目前业内日志分析工具比较多，今天推荐十个比较好用的Web日志安全分析工具。
1、360星图
一款非常好用的网站访问日志分析工具，可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析，输出安全分析报告，支持iis/apache/nginx日志，支持自定义格式。
下载地址：
本地下载地址
2、LogForensics
TSRC提供的一款日志分析工具，可从单一可疑线索作为调查起点，遍历所有可疑url(CGI)和来源IP。
相关下载地址：
3、GoAccess
一款可视化 Web 日志分析工具，通过Web 浏览器或者 *nix 系统下的终端程序即可访问。能为系统管理员提供快速且有价值的 HTTP 统计，并以在线可视化服务器的方式呈现。
官网地址：
4、AWStats
一款功能强大的开源日志分析系统，可以图形方式生成高级Web，流媒体，ftp或邮件服务器统计信息。
官网地址：
5、Logstalgia
一款非常炫酷且可视化日志分析工具，可以直观的展示CC攻击和网站的日志分析，并以可视化的3D效果展示出来。
下载地址：
6、FinderWeb
程序员的看日志利器，支持,tail, less, grep，支持超大的文本文件，从几M到几十G的日志文件都流畅自如。
下载使用：
7、web-log-parser
一款开源的分析web日志工具，采用python语言开发，具有灵活的日志格式配置。
github项目地址：
8、ELK
开源实时日志分析的ELK平台，由ElasticSearch、Logstash和Kiabana三个开源项目组成，在企业级日志管理平台中十分常见。
下载使用：
9、Splunk
一款顶级的日志分析软件，如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志，那么你可以很容易地过渡到Splunk。
下载地址：
10、IBM QRadar
Qradar有一个免费的社区版本，功能上和商用版本差别不大，适合小规模日志和流量分析使用。
下载地址：
到此这篇关于10个好用的Web日志安全分析工具推荐小结的文章就介绍到这了,更多相关Web日志安全分析工具内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

WEB扫描工具Acunetix web vulnerality scanner

利用web地址里的id参数进行sql注入，得到管理员账户和密码。利用明小子软件，遍历网站目录，得到网站后台管理入口，输入用户名密码成功登录后台。

利用前台上传头像功能，上传木马图片（asp图片木马生成器可以把小图片加上木马），利用数据库备份功能，把木马图片备份到指定文件目录下变成木马文件，执行木马文件。

用菜刀连接上传马。拿到shell。

利用fpipe.exe端口转向工具使用FTP创建管理员账户，创建OS账户，利用3389端口登录服务器，拿到肉鸡。

使用Burpsuite弱口令爆破软件结合社工爆破密码生成器可以破解网站弱密码。

sqlmap自动化注入攻击，sqlmap它由python语言开发而成，因此运行需要安装python环境。

kali