- 综合排序
- 最热优先
- 最新优先
- 来自专栏啄木鸟软件测试
安全测试工具(连载3)
l Java脚本安全分析:AppScan中介绍了JavaScript安全性分析,分析抓取HTML页面漏洞,并允许用户专注于不同的客户端问题和DOM(文档对象模型)为基础的XSS问题。 l 工具支持:它有像认证测试,令牌分析器和HTTP请求编辑器等,方便手动测试漏洞。 l Ajax和Dojo框架的支持。 1. 设置扫描 打开AppScan,点击菜单“工具->选项->记录代理”,如26所示。 ? 26 记录代理 选择让AppScan自动选择端口(U)。 接下来进入“工具->选项->首选项”,如27所示。在“记录并查看浏览器”中不要选择“使用嵌入浏览器(B)”。 ? 27 记录并查看浏览器 3. 36 AppScan导出扫描结果 创建扫描报告 点击菜单“工具->创建报告”或者图标,进入报告配置页面,如37所示。 ?
1.2K20发布于 2019-12-12 - 来自专栏零域Blog
安全工具
整理一些我自己常用的安全工具分享给大家: 信息收集 dnsmap dnstracer nmap zenmap traceroute ncat smbclient smtpscan 流量劫持 tcpdump sslsniff 内网嗅探 dsniff ettercap wireshark 代码审计 RIPS Jetbrains WIFI airodump-ng aircrack airmon reaver 综合类工具 BackTrack 5(这里面几乎集齐了所有安全工具!) Metasploit OWASP Zap fbd 扫描类 nmap wireshark tcptraceroute dnsmap Hping2 sqlscan Nikto Nessus Snort ARPWatch W3af sqlmap 反编译 JD 辅助类 fbd 各类弱口令库 社工库 安全后台 机器集群 中国菜刀
38920编辑于 2022-03-16 - 来自专栏ffffffff0x
安全工具系列 :SM3国密算法模块学习
SM3是我国采用的的一种密码散列函数标准,由国家密码管理局于2010年12月17日发布。相关标准为“GM/T 0004-2012 《SM3密码杂凑算法》”。 在商用密码体系中,SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等,其算法公开。据国家密码管理局表示,其安全性及效率与SHA-256相当。 满足以上三个特性的散列函数可以认为是安全的散列函数,按照美国国家标准与技术研究院(NIST)的标准,MD5已经是不安全的散列函数了,不推荐使用SHA-1,推荐使用SHA-2与SHA-3。 SM3算法的压缩函数与SHA-256的压缩函数具有相似的结构,但是SM3算法的设计更加复杂,比如压缩函数的每一轮都使用2个消息字。 至今为止,SM3算法的安全性相对而言比较高。 ] 结语 在越来越多国际通用散列算法被攻击、破解的今日,我国自研的SM3散列函数使用更复杂的压缩函数,因此具有更高的安全性,为金融、政企类网站保驾护航,守护信息安全。
2.1K31发布于 2020-12-22 - 来自专栏FreeBuf
Gartner:响应网络安全事件的3个必备工具
为了更好应对网络安全威胁,安全与风险管理领导者必须提前做好准备。 安全风险管理者应对网络风险时,快速、高效、准确的安全工具必不可少。 对此,Gartner 强调,制定事件响应计划、编写详细的响应手册、定期进行桌面演练这三个工具至关重要。通过使用这些工具,企业领导者能够快速采取相应的行动,确保企业安全。 另外,对安全事件分析、分类后,能够更方便的告知利益相关方事件对企业机构的潜在或现实影响。严重等级还能决定被通知对象、升级路径,以及需要使用的手册。 3. 3. 详细记录响应流程 在处理勒索软件类型的安全事件时,应当与各主题专家(SME)合作,详细记录勒索软件响应流程。其中主要包括具体的指导、工具、示例、设置等,并应明确每个步骤的责任方。 设定事件情景和场景: 要想实现最高效的网络安全桌面演练,其结构应该设置为一个初始情景(例如,恶意软件),并跟随一系列为事件增加新信息的场景。这种结构复刻了真实事件的不确定性变化。 3.
50910编辑于 2022-06-08 - 来自专栏云云众生s
开源安全工具与商业安全工具的对决
开发者不希望使用碎片化的工具,也不希望获得太多警报或仪表盘。相反,他们需要对安全工具的结果质量有极高的信任。 他们不想要分散的工具,太多的警报或仪表板,他们需要对其安全工具结果的质量有极大的信任,并且需要保持在不断的上下文和流程中以应对需要解决的任务。 多年来,开发者也在进化。 在构建一个真正可行的安全编排平台时,我们有幸进行了大量研究——是的,研发中经常被忽略的那个关键部分——我们想探索商业工具与开源工具的世界,并了解为用户提供什么以提升我们作为一个行业的水平。 瑞士军刀式安全 我们在安全行业已经走过了漫长的道路,左移安全是众所周知的,现在可以使用出色的工具来覆盖现代软件堆栈的许多层面。 这使我们现在可以将安全能力提升到一个新的水平,并为安全世界解锁急需的开发者体验——安全体验。开发者是新的工具决策者,如果我们不优化系统中的人,我们将使我们的安全计划注定失败。
42710编辑于 2024-03-28 - 来自专栏nginx遇上redis
安全工具Snort
3-NIPDS(网络入侵和防御检测系统) 规则语法 ? 架构:Snort规则语法 规则标头 alert——规则操作。Snort将在满足设置条件时生成alert。 any——源IP。
2K20发布于 2019-10-15 - 来自专栏全栈程序员必看
安全工具-Sparta
Sparta是一个集端口扫描、网络扫描、服务探测以及暴力激活成功教程等多项功能于一身的工具,kali中已经预装了该工具,可直接使用。 pass "test" - 2 of 2754 [child 1] [ATTEMPT] target 119.75.217.109 - login "oracle" - pass "oracle" - 3 of 2754 [child 2] [ATTEMPT] target 119.75.217.109 - login "admin" - pass "admin" - 4 of 2754 [child 3]
66540编辑于 2022-11-17 - 来自专栏Bypass
镜像安全扫描工具
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。 本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。 扫描示例 trivy image nginx:latest trivy image --severity HIGH,CRITICAL nginx:latest 2、veinmind-tools 这是一个容器安全工具集 支持脚本命令行扫描,也可以下载单一工具扫描。 单一工具扫描提供了一种比较灵活的方式,在攻防过程中有很多应用的场景,比如扫描弱口令/敏感信息/逃逸风险等检测工具可用来做攻击方手段,后门/webshell/入侵痕迹等检测工具可作为防守方分析容器安全事件的利器
1.1K30编辑于 2023-11-07 - 来自专栏今天有没有多懂一点工业安全
【常用安全工具】:netcat
Asun安全学习【安全工具】 上一篇复现了CVE-2023-38831,在复现中途使用了netcat,那么今天就来写一下netcat这个工具。 在一座繁忙的都市中,有一名网络侦探,名叫李明。 李明的日常工作是追踪网络犯罪,保护市民的网络信息安全。突然!一天深夜,他接到了一起重要的案件:一个名为“暗网市场”的非法交易网站被黑客攻击,导致大量敏感信息泄露。 它是一个可靠的容易被其他程序所启用的后台操作工具,同时它也被用作网络的测试工具或黑客工具。使用它你可以轻易的建立任何连接。 【用途】: (1)实现任意TCP/UDP端口的侦听,nc可以作为server以TCP或UDP方式侦听指定端口 (2)端口的扫描,nc可以作为client发起TCP或UDP连接 (3)机器之间传输文件 ( 4444 尝试连接到 IP 地址为 172.22.72.177 的主机的 1234 端口 Win10机器中输入命令:nc 172.22.72.177 4444: 同时在kali中,监听的端口有回应: 3、
1.1K20编辑于 2024-07-16 - 来自专栏简言之
Web安全工具开发
我们致力于打造一款安全高效、操作简单、界面清爽、兼容适配的安全工具。本项目的灵感来自于国光师傅的文章Django 编写 Web 漏洞扫描器挖坑记录。 通过这一系列的步骤,可以对Web应用进行全面检测,从而发现网站存在的安全隐患,因此用户可以针对相应的网络威胁做出应急响应,进而提升站点的安全性。 团队成员 本项目由我担任组长,带领其余3人共同开发,因此代码风格会有不同,相关功能的实现深度也会参差不齐 ! 3.现在项目已经可以正常运行了,但是想要使用漏洞扫描功能,需要安装AWVS,并在项目的setting.py 中配置 AWVS的 API URL和API KEY 4.忘记密码功能相关配置在项目的setting.py 安全工具页 安全图书页 引入MySQL数据库 扫描算法优化 代码变量、数据库结构优化 漏洞报告导出功能 页面异步刷新
1.9K30编辑于 2023-01-04 - 来自专栏全栈程序员必看
渗透测试工具包 | 开源安全测试工具 | 网络安全工具
Savior – 渗透测试报告自动生成工具!. 漏洞利用框架 hackUtils – 它是一个用于渗透测试和网络安全研究的黑客工具包,渗透以及web攻击脚本。 vulnerable – node编写的漏洞练习平台,like OWASP Node Goat,测试安全分析器工具的质量。 secgen – Ruby编写的一款工具,生成含漏洞的虚拟机。 w3af – Web 应用程序攻击和审计框架,该扫描器能够识别200 多个漏洞,包括跨站点脚本、 SQL 注入和 操作系统命令。 wpscan – WPScan WordPress 安全扫描器。用于测试 WordPress 网站的安全性。 sqlmap – 自动 SQL 注入和数据库接管工具。 脚本 nishang – Nishang – 用于红队、渗透测试和进攻性安全的进攻性 PowerShell,内网信息收集,横向,扫描、获取凭证等ps脚本。
2.5K11编辑于 2022-09-22 - 来自专栏FreeBuf
CANard工具套件:CAN总线安全工具
前特斯拉员工Eric Evenchick在今年Black Hat Asia 2015大会发布了一款CAN总线协议的安全工具CANard,通过硬件抽象实现对多种CAN适配器的支持,向上提供统一的调用接口。 CANard 工具套件是一个Python库,目标是让我们与CAN网络的交互更为简单方便。 下图是使用标识符为0x123、长度码为5、数据字节为1、2、3、4、5创建一个标准CAN帧。 现在,我们可以使用硬件设备来发送这个示例帧。 从安全角度来看,这点有助于针对特定目标汽车设备编写模糊测试器与漏洞挖掘。 4.1 CAN-TP CAN帧只能承载不超过8字节的数据。 例如,读写车辆控制器的任意内存(服务号为0x23和0x3d)引起人们的广泛关注。 虽然这些服务的使用应该有限制的,但是通常存在实现上的问题。寻找这些问题便可以找到控制器的漏洞。
3.3K100发布于 2018-02-06 - 来自专栏python3
Linux安全问答(3)
3、保护一个目录为只读。 # lidsconf -A -o /some/directory -j READONLY 此命令用保证一旦LIDS启用,任何人都不能列出或删除此目录及其中的内容。
91620发布于 2020-01-08 - 来自专栏架构驿站
【安全测试】Web安全测试工具简述
Websecurify(Windows, Linux, Mac OS X) 这是个简单易用的开源工具,此程序还有一些人插件支持,可以自动检测网页漏洞。 运行后可生成多种格式的检测报告 Wapiti(Windows, Linux, Mac OS X) 这是一个用Python编写的开源的工具,可以检测网页应用程序,探测网页中存在的注入点。 N-Stalker Free Version(Windows) 此工具可一次检测100个以上的页面,包括跨页脚本的检测。 skipfish(Windows, Linux, Mac OS X) 这是一个轻量级的安全测试工具,处理速度很快,每秒可处理2000个请求。 Exploit-Me(Windows, Linux, Mac OS X) 这个是火狐的插件,由XSS-Me,SQL Inject Me 和 Access-Me 这3个构成,当浏览网页时就会开始检测,
1.9K51编辑于 2022-03-25 - 来自专栏HACK学习
Windows安全应急--多种安全工具的介绍
Autoruns 介绍: AutoRuns是一款项目管理工具,它可以查看“资源管理器”,“IE浏览器”,“计划任务”,“驱动等等”, 通常用它来查看异常进程 ? D盾 介绍: D盾是一款webshell查杀工具,通常使用它来扫描网站webshell,同时也可以扫描隐藏文件 ? 下载地址: http://www.d99net.net/ ---- 3. Process Lasso 介绍: Process Lasso也是一款优秀的进程管理辅助工具,它同时可以监视进程动作。 ? 火绒剑 介绍: 火绒剑也是一款优秀的进程管理分析工具 ? ---- 下载地址: http://down4.huorong.cn/hrsword.exe ---- 7. Windows系统安全检查脚本 介绍: 它可以检查多项记录。 请使用管理员运行,几个检查项需要权限运行 ? ?
1.7K20发布于 2019-08-13 - 来自专栏超级架构师
「安全工具」13个工具,用于检查开源依赖项的安全风险
首先,我将快速分析开源软件依赖关系中与安全风险相关的持续安全问题,然后我将用一系列工具来包装,您现在可以开始使用这些工具来领先于关于这个问题的曲线。 组织仍然认为开源代码更安全 关于开源更加安全的误解始于Linus'Law以Linus Torvalds的名字命名,并由Eric S. 每个工具/服务解决问题的方式都有所不同,因此我的咨询公司已经联系了项目负责人和公司的CEO,以获得他们如何相信他们的工具对解决方案有贡献以及他们看到工具未来的位置的反馈。 来自RetireJS的Erlend Oftedal认为安全是每个人的问题,需要更多的协作:“我希望看到流行的开源框架的作者自己开始向Retire.js等工具报告安全修复,以便保护他们软件的用户更安全“。 是一个软件工具我的咨询公司安全,它根据CVSS风险评分帮助比较开源项目。
4K20发布于 2019-07-22 - 来自专栏软件实验室资质建设知识分享
安全测试工具清单|常见安全测试工具介绍及比对
软件安全测试工程师进行相关测试方法的学习和精进也需要通过对安全测试工具的学习,提升自己的相关技能。本文我们为大家介绍在安全测试的过程中会用到的安全测试工具。 3、可扫描单页面应用程序 (SPA)4、能够测试针对移动优化的网站以及原生 Web 服务调用。5、可以帮助企业监控安全趋势,针对应用程序中的漏洞提供安全修复建议。 3、全面的配置核查系统自动发现并分析多类设备及系统的安全配置问题,避免传统人工检查方式所带来的失误风险,提高检查结果的准确性和合规性。涵盖多种类型多种系统的一百多种模板。 3、获取面向互联网的攻击面的可见性您不能保护您看不到的东西。在攻击者找到您之前,查找和评估与互联网连接的资产。 3、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域。
1.3K10编辑于 2025-08-14 - 来自专栏Python机器学习算法说书人
安全的数据库图形管理工具(3):SQL语句(1)
SQL语句有很多,但是我这个项目是针对菜鸟用的(我相信大佬应该都不用图形管理工具,都是直接命令走起的),所以我就只讲解一下简单的SQL语句。SQL语句主要分为两类,读取数据库和写入数据库。
89720发布于 2019-07-26 - 来自专栏python基础文章
网络安全——传输层安全协议(3)
前言 通过之前文章对SSL握手协议与SSL记录协议有了一定的了解网络安全——传输层安全协议(2) 本章将会继续讲解SSL的其他协议 一.SSL密钥更改协议 SSL密钥更改协议用以通知参与各方加密策略的改变 三.SSL协议安全性分析 SSL协议的安全性由采用的加密算法和认证算法所保证。实践证明,现有的加密和认证算法是安全有效的,但随着计算机技术和信息对抗技术的发展,一些新的问题和挑战随即产生。 这些发现促使产业界不得不发展更安全的散列算法,同时也使开发下一代更安全的SSL.协议提上了日程。 五.SSL安全优势 1.监听和中间人攻击 2.流量数据分析式攻击 3.版本重放攻击 4.检测对握手协议的攻击 5.会话恢复伪造 6.短包攻击 7.截取再拼接式攻击 3.数字签名问题 基于SSL.协议没有数字签名功能,即没有抗否认服务。若要增加数字签名功能,则需要在协议中打补丁。这样做,在用于加密密钥的同时又用于数字签名,在安全上存在漏洞。
67420编辑于 2023-10-15 - 来自专栏ffffffff0x
安全工具系列 :Burp Suite
简介 Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。 主要使用于下面几种场景中: 限制站点地图和 Proxy 历史中的显示结果 告诉 Burp Proxy 拦截哪些请求 Burp Spider 抓取哪些内容 Burp Scanner 自动扫描哪些作用域的安全漏洞 在我们使用 Burp Repeater 时,通常会结合 Burp 的其他工具一起使用,比如 Proxy 的历史记录,Scanner 的扫描记录、Target 的站点地图等,通过其他工具上的右击菜单,执行 [d3rozrzaz2.png] 在没有导证书的情况下,一直需要手动忽略不安全的域名,怎么调整自动忽略? burp Intruder组件Payloads选项Payload Processing部分,add -- Hash -- MD5 [q3ti2af3oh.png] 插件 Burp在软件中提供了支持第三方拓展插件的功能
1.8K31发布于 2020-12-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号