精华内容
下载资源
问答
  • WebScan工具

    2014-12-09 09:35:33
    可以使用的WebScan工具,希望可以下载看看
  • webscan网站扫描工具

    2010-04-23 15:42:25
    WEBScan扫描网站工具。绿色版,经测试没有木马。
  • 特征 : 管理面板查找器 管理面板扫描仪 无重定向 反向IP 呆子搜索者 呆子发电机 安装 : 注意:您必须在主目录中进行克隆 apt update apt upgrade -y apt install git -y ... git clone ... webscan
  • WebScan端口漏洞扫描

    2012-03-25 14:58:37
    WebScan
  • 明鉴WebScan用户手册

    2014-06-11 17:34:07
    明鉴WebScan用户手册 明鉴WEB应用弱点扫描器是一个主动型的web应用风险深度扫描工具,可以扫描出目前web应用中大部分的弱点,如SQL注入、特洛伊木马、表单逃逸、跨站脚本等。 一、功能简介 二、操作入门 三、功能...
  • WebScan.zip

    2020-05-25 14:50:56
    使用python编写的web前期收集的源码,主要是用爬虫技术。多线程的网络扫描器源码 不错的学习工具
  • 自用的,360webscan后门查杀php专版,3个文件均能扫描,上传到网站根目录下运行
  • 公司要扫描个Web系统漏洞,所以就简单的学习了下。 App Scan用法: 首先打开IBM Security AppScan Standard 工具 点击 创建新的扫描 -> 点击”常规扫描“ ->之后你就会看到如下图: 这里你可以直接点击 ”...
    公司要扫描个Web系统漏洞,所以就简单的学习了下。

    App Scan用法:

    首先打开IBM Security AppScan Standard 工具


    点击 创建新的扫描 ->  点击”常规扫描“ ->之后你就会看到如下图:



    这里你可以直接点击 ”下一步“ 或是点击 ”完整扫描配置“

    先点击 ”完整扫描配置“

    URL 和服务器

    1.在起始URL中输入你要扫描的网站网址
    2.你的系统中可能还包括其他的域名可以在这里添加,注意格式要求(不能直接输入整个网址,可以使用fiddler4检测工具 获得系统所访问的地址)

    点击 登录管理:
    如果的你系统刚开始要登录的话这里要进行设置,如果不需要登录直接选择 选中” 无“ 即可。


    需要登录的话  鼠标移到 ”登录“按钮后点击上图的 ”使用AppScan 浏览器“ 就会根据你的URL 打开登录页面,要你输入账号和密码
    (我测试的这个页面没有登录界面) ,当登录成功后点击 ”我已登录到站点“ 按钮,这样就会记录你的登录序列 





    记录成功后,点击 标签 ”详细信息“ 可以查看到验证的成果




    环境定义 可以不进行更改 直接默认就好


    排除路径和文件
    有需要的排除的路径和文件 可以在这里添加。(我之前扫描这个系统,有个路径执行saveOrUpdate操作,每次执行到这类路径,扫描就扫不动了,而且总是会session重复登录,之后在这边把它排除掉,扫描速度就提了好多。所以对于那些无关紧要的网址可以在这边排除掉)


    探索选项  要适当进行修改


    Glass Box 


    连接-
    通信 和代理





    其他的一般情况 就不需要进行设置了,默认就好了。 设置完后你可以导出为模板,以便下次使用。
    确定按钮 后 又返回到下图:


    因为你之前以及设置过了,所以一直点 ”下一步“,


    点击 完成 后 如果勾选了 扫描专家 ,会先启动 扫描专家 进行扫描优化(我比较烦这个,所以不勾选)
    直接进入扫描了。


    如上图: AppScan 的扫描 分三类:完全扫描 、仅探索、仅测试 

    如果系统需要扫描的页面或是元素较少 可以直接选中 完全扫描(其实就是探索和测试一条龙服务)

    如果页面需要扫描的页面和元素比较多时,可以分开来,先探索,探索完成后再进行测试。

    探索也就是 扫描出整个系统的基本结构和页面。
    测试 就是根据你所配置的信息 如测试策略、深度等等 对页面中的元素进行测试 从而得出安全性问题

    如果只是对系统中某个模板进行 扫描的话,可以 通过 ”手动探索“ 获取需要扫描的指定页面 

    在页面中 点击到你需要测试的模块页面,后单击 ”暂停记录“ 按钮 后关闭页面。



    之后就会打开下面的对话框,里面的url 就是是手动点击页面的 所包含的url连接



    扫描完成后可以 生成各种类型的 扫描报告,这个还是不错的,不然要自己去写就太坑了。



    扫描日志:在扫描过程中可以查看扫描的一些信息


    扫描的页面还有许多有用的功能,以及很有帮助的设置,可以去网上查找。

    扫描的结果截屏:


    之前 扫描个系统,测试的元素太多,服务器又时常会连不上,花了28个小时。所以合理配置扫描信息还是蛮重要的


    展开全文
  • 最简单的方法介绍工具。 系统:windows 10 ...ScanPort.exe工具使用方法: 1.填写相关参数,点击“扫描”即可,多扫几次,和其它工具对比。 总结 :相对说,速度快,比较准确。需对比其它工具。 ...

    最简单的方法介绍工具。

    教程所包含工具:

    链接:https://pan.baidu.com/s/1fPh0rv88y64b33R47ecfxA 
    提取码:sr2r 

    系统:windows 10

    ScanPort.exe工具使用方法:

    1.填写相关参数,点击“扫描”即可,多扫几次,和其它工具对比。

    总结 :相对说,速度快,比较准确。需对比其它工具。

    目录:

    1.web安全工具库(笔记)----端口扫描(K8PortScan)
    https://blog.csdn.net/qq_30508729/article/details/104704404
    2.web安全工具库(笔记)----端口扫描(masscan-GUI V0.72)
    https://blog.csdn.net/qq_30508729/article/details/104704842
    3.web安全工具库(笔记)----端口扫描(portscanner)
    https://blog.csdn.net/qq_30508729/article/details/104705181
    4.web安全工具库(笔记)----端口扫描(RapidScanner.exe)
    https://blog.csdn.net/qq_30508729/article/details/104705409
    5.web安全工具库(笔记)----端口扫描(御剑高速端口扫描工具 V1.01 beta)
    https://blog.csdn.net/qq_30508729/article/details/104723163
    6.web安全工具库(笔记)----端口扫描(SuperScanV4.0-RHC.exe)
    https://blog.csdn.net/qq_30508729/article/details/104723788
    7.web安全工具库(笔记)----端口扫描(端口扫描器.exe)
    https://blog.csdn.net/qq_30508729/article/details/104724093
    8.web安全工具库(笔记)----端口扫描(pscan.py)
    https://blog.csdn.net/qq_30508729/article/details/104724851
    9.web安全工具库(笔记)----端口扫描(ScanPort.exe)
    https://blog.csdn.net/qq_30508729/article/details/104724221
    10.web安全工具库(笔记)----端口扫描(PortScan)
    https://blog.csdn.net/qq_30508729/article/details/104803113
    11.web安全工具库(笔记)----端口扫描(webservicescanner.py)
    https://blog.csdn.net/qq_30508729/article/details/104803393
    12.web安全工具库(笔记)----端口扫描(cthun.py)
    https://blog.csdn.net/qq_30508729/article/details/104803493

    展开全文
  • redis web工具

    千次阅读 2019-08-21 20:38:33
    安利web版redis管理工具一款,首先来个正面照 界面看上去挺简洁,下面就演示如何得到他 本机Python 2.7.5 Linux dev 3.10.0-862.14.4.el7.x86_64 #1 SMP Wed Sep 26 15:12:11 UTC 2018 x86_64 x86_64 x86_64 ...

    安利web版redis管理工具一款,首先来个正面照

    界面看上去挺简洁,下面就演示如何得到他

    本机 Python 2.7.5

    Linux dev 3.10.0-862.14.4.el7.x86_64 #1 SMP Wed Sep 26 15:12:11 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux

    命令行: git clone https://gitee.com/careyjike_173/redis_web_client.git

    即可下载

    附上相关文档 https://gitee.com/careyjike_173/redis_web_client/wikis/Home

    安装步骤按照文档说明即可,如果报如下图的错

    经过一番查询得到如下解决方法

    本人linux系统对症下药: sudo yum install python-devel mysql-devel

    重新执行 pip install -r requirements.txt

    环境安装好了下一步需要配置信息,在项目目录下 conf/conf.py 文件

    // 数据库信息,实际就是mysql的数据库信息,是的你没有听错,因为这个是用于界面登陆等相关信息保存的,而redis的连接信息是在登陆成功之后添加的,个人建议重新为这个项目建一个数据库,因为下一步的生成数据库表文件的操作会在指定的数据库中生成10几个表,有可能跟原本的数据库表冲突
    database = {
        "name": "redis_admin",  //mysql数据库的库名
        "host": "127.0.0.1", //mysql ip
        "username": "root", // mysql 用户名
        "password": "root", //mysql 密码
        "port": "3306",
    }

    注意:conf.py文件中的scan_batch 值设置过大可能导致性能出现问题,但是值过小可能导致查询出的数据不全

    然后生成数据库表文件

    sudo python manage.py migrate

    此操作完成后会在指定的mysql数据库中生成这些表

    下一步创建管理员用户,此时生成的账号是用来登陆界面的

    sudo python manage.py createsuperuser

    需要自己定义端口需要修改redis_admin目录下的 funicorn.py  文件

    启动项目:在项目的 列表内里有个 start.sh 文件 使用  ./start.sh start 或/start.sh stop可以启动或者停止服务

    在log文件夹下有项目日志文件

    此时虽然服务启动成功但是相应的css文件和js文件并没有发布,实际上是无法完成界面的渲染而进行登录的,需要借助nginx将项目下的static文件发布

    所以干脆重新配置个nginx代理,全部代码如下

    server {
     listen 8001; //监听的端口
     server_name 192.168.1.1; //服务器IP
     location / {
      proxy_pass http://127.0.0.1:8000; // 项目启动的端口
     }
     location /static {
      expires 7d;
      autoindex on;
      add_header Cache-Control provate;
      alias /home/admin/song/redisAdmin/redis_admin/static; //这部分就是静态文件的目录
     }

    }

    之后重启nginx,访问 192.168.1.1:8001 就会出现登陆界面

    输入上述步骤中账号密码登陆即可

    最后在redis管理那里添加redis服务信息,注意 名称不要添加数字,因为这可能导致你最终的key值无法正确显示

    还有一点需要注意的是需要配置用户管理的权限,否则用户啥也看不到,配置之后重新登录就可以看到完整的界面了

    大功告成!!

    展开全文
  • Struts2漏洞和Struts Scan工具实战

    千次阅读 2018-06-04 18:18:08
    二、Struts Scan工具介绍 使用场景:在主机外围验证漏洞存在与否。 使用前提:需要主机有python环境,如何安装自行百度。 1.Struts Scan工具下载地址 (1)【推荐】Lucifer原创在GitHub: ...

    一、Apache Struts 2漏洞背景

    1.漏洞详情

    2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞。在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值构造恶意代码,在服务器上执行系统命令,完全控制该服务器,最后达到挖矿、对外攻/击、数据窃取勒索、篡改为菠菜站等目的。漏洞利用所需组件默认启用,风险等级为高危。

    2.漏洞编号

    • CVE-2017-5638
    • CNNVD-201703-152

    3.影响的Struts2版本

    • Struts 2.3.5 – Struts 2.3.31
    • Struts 2.5 – Struts 2.5.1

    4.解决方案

    (1)临时解决方案:删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。

    (2)根本解决方案:升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1 以消除漏洞影响。涉及版本变更,升级前应做好数据备份。

    补丁地址:
    Struts 2.3.32: https://github.com/apache/struts/releases/tag/STRUTS_2_3_32
    Struts 2.5.10.1: https://github.com/apache/struts/releases/tag/STRUTS_2_5_10_1

    5.自行检测方法

    查看web目录下/WEB-INF/lib/目录下的struts2-core-x.x.x.jar文件,如果x代表的版本号在2.3.5到2.3.31 以及2.5到2.5.10之间且未修改默认配置则存在漏洞。

    二、Struts Scan工具介绍

    使用场景:在主机外围验证漏洞存在与否。
    使用前提:需要主机有python环境,如何安装自行百度。

    1.Struts Scan工具下载地址

    (1)【推荐】Lucifer原创在GitHub: https://github.com/Lucifer1993/struts-scan

    Struts2漏洞和Struts Scan工具实战

    (2)在百度网盘备份了一份:https://pan.baidu.com/s/1ji8uTB73gXMFaTyW5r6Jbg 密码:99f4

    2.Struts Scan工具使用方法

    (1)将下载的安装包上传到云主机任意目录下,我上传到/root/struts-scan/

    Struts2漏洞和Struts Scan工具实战

    (2)使用方法:

    • python struts-scan.py http://example.com/index.action 检测
    • python struts-scan.py -u http://example.com/index.action -i struts2-045 进入指定漏洞交互式shell
    • python struts-scan.py -f url.txt 批量检测

    示例:python struts-scan.py http://www.baidu.com
    Struts2漏洞和Struts Scan工具实战

    注意:如果python报错:

    Traceback (most recent call last):
     File "struts-scan.py", line 13, in <module>
        from termcolor import cprint
    ImportError: No module named termcolor

    根据报错,执行如下命令后解决:

       yum install python-pip
       pip install termcolor

    三、入/侵分析案例

    1.2017-12-25 某一云租户的CPU持续较高,经过排查是一个名为md的恶意进程,位置/var/tmp/.c4k/,且在crontab里加了定时任务。

    Struts2漏洞和Struts Scan工具实战

    Struts2漏洞和Struts Scan工具实战

    2.微步在线坚定为比特币挖矿木/马:

    Struts2漏洞和Struts Scan工具实战

    3.网站目录下/WEB-INF/lib/目录下,发现了存在漏洞struts2库2.3.15。

    Struts2漏洞和Struts Scan工具实战

    利用struts scan判断存在struts2-045、struts2-048漏洞

    Struts2漏洞和Struts Scan工具实战

    4.本文列出的为关键步骤,其实分析过程中我们还分析了弱口令爆破、/var/log/secure日志、配置文件server.xml等,常规分析参考我的Linux入/侵分析三部曲。

    终于最后聚焦到struts2漏洞,从此此漏洞可以作为网站类主机入/侵溯源分析的一个检查点,列入TSG(Troubleshooting Guide),提高效率。

    转载于:https://blog.51cto.com/winhe/2124726

    展开全文
  • Web测试工具和管理工具 集合

    万次阅读 2011-05-10 15:27:00
    Web Site Test Tools and Site Management Tools More than 500 tools listed in 13 categories Organization of Web Test Tools Listing - this tools listing has been loosely organized into ...
  • paros~ web测试工具

    千次阅读 2009-12-29 08:39:00
    简单介绍一些工具: PAROS 这个工具用来测试web应用的。使用比较简单:1、先把你的IE设置为回环; 具体步骤为 工具->Internet选项->连接->局域网设置->设置代理服务器->高级->HTTP设置为127.0.0.1,端口802、...
  • Arachni web扫描工具

    2018-09-15 16:15:00
    扫描工具-Arachni from:...  ./arachni_console #进入命令行模式 ./arachni_web #启用web服务,进入web操作模式 【属于web 应用】 http://localhost:9292/  ...
  • Web扫描工具之阿里云盾、360安全扫描使用方法。之前做的一个小网站莫名其妙被篡改了主页,跳到了社会和谐的网。检查了服务器的配置历史记录等等N多东西最后确认应该是开源... 360安全扫描:http://webscan.360.cn/ 阿
  • WEB扫描工具之Nikto实践

    千次阅读 2018-09-07 01:28:13
    WEB扫描工具 Web扫描工具大部分都支持两种扫描模式:代理截断模式和主动扫描模式 Nikto:是一个Web服务器扫描程序,主要是去检查软件版本信息,搜索存在的安全隐患的文件,服务器配置漏洞,Web Application层面的安...
  • 作为一款安全从业者人手皆备的渗透测试工具,Burp Suite 是用于攻击 web 应用程序的集成平台,它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程,它包含了众多模块,每个模块都有不同的...
  • Web测试工具大全

    千次阅读 2004-11-11 14:41:00
    Organization of Web Test Tools Listing This tools listing has been loosely organized into the categories shown below. Categories are not well-defined and some tools could have been listed in s
  • 10大Web漏洞扫描工具

    2020-05-17 18:02:41
    Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行...
  • windows系统-web渗透工具-AWVS

    千次阅读 2016-10-19 03:14:36
    windows系统-web渗透工具-AWVS ACUNETIX WEB VULNERABILITY SCANNER(AWVS) Awvs是一款很出名的web安全扫描器,属于windows系统平台下最流行的扫描器之一,是商业版本【有破解版】,相对开源软件,较为细化。支持...
  • spring扫描注解工具scan

    千次阅读 2015-08-21 17:32:25
    --------------------------------------------------------------------------------该工具类主要是用于自定义扫描包--------------------------------------------------------------------------- 首先需要...
  • 最简单的方法介绍工具。 系统:windows 10 webservicescanner.py...Usage: python webscan.py 192.168.1.1/24 命令:python2 webservicescanner.py 192.168.172.1/24 python2 webservicescanner.py 192.168.17...
  • 笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇参考地址为快速找出网站中可能存在的XSS漏洞实践(一)...
  • IronWASP是一款优秀的web应用程序高级安全性的测试平台,是开源的系统,主要用户测试Web应用程序的漏洞。这个工具是非常简单易用的,初学者可以使用。如果用户对python和ruby比较了解的话,还开源用这个工具创建...
  • 针对Web应用程序的漏洞扫描其实就是每个扫描器读取自己的Payload进行探测。每个扫描器都有各自不同的Payload进行探测,探测结果也可能不尽相同。因此,做漏洞扫描的时候,需要多个扫描器一起使用,获取最终较为准确...
  • 常见的Web渗透测试工具

    千次阅读 2018-02-01 16:38:42
    一、渗透测试工具nmap,查看网站服务器开放的端口 1、查看服务器上运行的服务 $ nmap -sV hack-test.com 2、查看操作系统版本 $ nmap -O hack-test.com 二、使用Nikto来收集漏洞信息 #官方网站:...
  • 公司要扫描个Web系统漏洞,所以就简单的学习了下。 App Scan用法: 首先打开IBM Security AppScan Standard 工具 点击 创建新的扫描 -> 点击”常规扫描“ ->之后你就会看到如下图:

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 29,590
精华内容 11,836
热门标签
关键字:

webscan工具