- 综合排序
- 最热优先
- 最新优先
- 来自专栏大侠之运维
自动化网络扫描工具
随着信息安全威胁的日益复杂,自动化工具的需求愈加迫切。 bbot(Black Lantern Security Bot)正是在这种需求背景下应运而生的一个开源自动化框架,它能够帮助安全研究人员、渗透测试人员及网络防御者自动化执行一系列操作,极大提高效率和响应速度 集成多种攻击模拟undefinedbbot 不仅支持基础的网络扫描,还能够模拟多种攻击,如 SQL 注入、跨站脚本(XSS)、弱密码攻击等。 强大的自动化能力undefined如今,自动化在网络安全领域占据着至关重要的地位。bbot 正是基于这一趋势设计,能够自动化地进行一系列渗透测试步骤,极大地减轻了手动操作的负担。 无论是扫描网络漏洞、测试密码强度,还是检测网络配置问题,都可以通过脚本和配置文件的自动化执行来完成。
62610编辑于 2024-11-22 - 来自专栏网络安全攻防
【神兵利器】自动化巡航扫描框架
项目介绍 ApolloScanner是一款自动化巡航扫描框架(可用于红队打点评估) 功能介绍 资产收集(需要主域名,资产对象可直接在爆破和漏扫过程中调用) 子域名收集(需要virustotal-api-token ) cname收集 ip地址(a记录)收集 开放端口扫描(基于masscan) 端口对应服务、组件指纹版本探测(基于nmap) http标题探测 http框架组件探测 github敏感信息收集 基于域名和关键字的敏感信息收集 支持钉钉通知 支持exp对象调用 支持资产对象 支持批量资产 支持多线程(可配置) 代码动态编辑 代码动态调试 支持资产对象 exp注册模块 破解任务模块 破解结果模块 敏感路径探测任务 敏感路径探测结果 漏洞扫描模块
21810编辑于 2024-12-10 - 来自专栏Bypass
使用SonarQube实现自动化代码扫描
(2)代码漏洞扫描效果测试: 默认的扫描规则与FindBugs Security Audit的对比。 ? 2、IDEA集成 通过IDEA集成Sonar,实现开发过程中就可以自动检测代码中存在的安全问题。 (2)基本使用 在IDEA中安装SonarLint插件,实现自动检测项目文件分析或者对整个项目进行分析。 ? (2)当提交代码的时候,自动检测代码并发送报告给提交者。 ? 4、Jenkins集成 通过Jenkins集成Sonar,就可以实现在流水线做自动化持续代码扫描。 (1)在Jenkins中,使用Pipeline流水线,拉取代码、执行打包、代码扫描。 ? (2)流水线构建成功。 ?
6.4K30发布于 2021-08-13 - 来自专栏潇湘信安
自动化漏洞扫描系统
工具介绍 info_scan是@huan666师傅实战沉淀几年的一款自动化漏洞扫描系统,包括IP基础信息探测模块(位置、属性、操作系统、端口、绑定的域名、公司名称、公司位置信息、网站标题、CDN信息、绑定网站指纹 、子域名),漏洞扫描模块,(weblogic、struts2、nuclei、xray、rad、目录扫描、js链接扫描、端口扫描、调用威胁情报抓取历史绑定url、网站指纹、信息泄露、vulmap、afrog 、fscan、DNS日志、shiro、springboot、服务弱口令扫描、识别重点资产),资产管理模块(资产发现、资产展示、CDN检测、存活检测、资产回退、重点资产识别),单个扫描模块报告支持在线预览 注意:保证系统正常运行需要2个项目: info_scan:漏洞扫描主系统 batch_scan_domain:xray+rad批量扫描,通过info_scan进行控制 使用说明 安装python3+MySQL ,第三是对URL数据进行处理 建议部署到Ubuntu系统下,不支持Windows系统 系统设计初衷就是集成开源漏洞扫描器,让测试人员通过网页一键完成扫描,提升工作效率 需要通过pip3安装requirements.txt
67810编辑于 2024-07-15 - 来自专栏Timeline Sec
工具 | 一款自动化过滤扫描结果的目录扫描工具dirsx
一款自动化过滤扫描结果的目录扫描工具 项目地址:https://github.com/chasingboy/dirsx 01 前言 当时正值华为发布遥遥领先, 加上“遥遥领先”只是开个玩笑, 大佬们见笑了 平时使用过 dirsearch|dirmap 等一些目录扫描工具,针对如今的 WEB 多样化,对扫描结果的过滤总感觉不符合预期。 dirsx -u https://www.baidu.com -w words.txt 指定目录递归扫描, 目前暂无添加结果递归功能扫描,担心目录误报 dirsx -u https://www.baidu.com payloads, so you can select from the list: [0] fuzzing-dirs-common.txt [1] fuzzing-dirs-dirsearch.txt [2] fuzzing-files-php.txt [3] fuzzing-letter-len1.txt [4] fuzzing-letter-len2.txt [5] fuzzing-letter-len3
46710编辑于 2024-11-23 - 来自专栏FreeBuf
企业安全建设之自动化代码扫描
之前也使用过fortify进行自动化代码扫描,由于误报率太高导致推送给业务方的漏洞代码不被重视,也使安全部门的权威性受损。 (2)增加过滤函数,并对恶意参数进行过滤 ? (3)再次使用fortify扫描,对恶意参数已经做了有效过滤仍然报出xss漏洞,显然这是误报。 ? (5)再次使用fortify扫描代码,误报解除。上图扫描出来6个xxs漏洞,下图扫描出来2个,上图中过滤函数添加fotify规则白名单的代码不再扫出来xss漏洞。 ? client = newMongoClient(addr, Arrays.asList(credential)); DB db =client.getDB(MongoDBCfg.DB_SP2P 2)扫描准备工作获取代码基本信息 通过cloc命令将项目的基本代码信息解析出来。例如统计有多少行代码,有多少种类型的扩展文件,有多少个文件等。
1.4K20发布于 2019-12-23 - 来自专栏小生观察室
xray联动crawlergo自动化扫描爬坑记
ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf-injection) Struts2 crawlergo 目前支持以下特性: 原生浏览器环境,协程池调度任务 表单智能填充、自动化提交 完整DOM事件收集,自动化触发 智能URL去重,去掉大部分的重复请求 全面分析收集,包括javascript 添加 > 主体:Everyone > 把所有权限都打开 > 应用 > 确定退出 再重新执行go build crawlergo_cmd.go语句并会在当前目录下生成crawlergo.exe文件 自动化项目部署
1.5K00编辑于 2022-01-13 - 来自专栏小生观察室
xray联动crawlergo自动化扫描爬坑记
ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf-injection) Struts2 crawlergo 目前支持以下特性: 原生浏览器环境,协程池调度任务 表单智能填充、自动化提交 完整DOM事件收集,自动化触发 智能URL去重,去掉大部分的重复请求 全面分析收集,包括javascript 添加 > 主体:Everyone > 把所有权限都打开 > 应用 > 确定退出 再重新执行go build crawlergo_cmd.go语句并会在当前目录下生成crawlergo.exe文件 自动化项目部署
2.8K60编辑于 2022-03-07 - 来自专栏小生观察室
如何将xray利用与自动化扫描
image.png 视频内容 如何将xray利用与自动化扫描 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 如有需要查看超清1080P版视频,可以选用以下2种方式进行查看。 国内使用腾讯视频做为视频内容存储点,可自定义选择超清1080P。
91100发布于 2021-03-04 - 来自专栏全栈程序员必看
struts2综合漏洞扫描工具
python扫描工具更新2022-4-16 1.添加了S2-062漏洞利用 其实是对S2-061漏洞的绕过 支持命令执行,Linux反弹shell,windows反弹shell。 java工具 优点 1.扫描比较稳定 2.误报情况少, 3.可视化,方便操作 缺点 1.无法指定payload进行利用 2.无法反弹shell 3.无S2-061 payload 用法 直接一键扫描就行了 漏洞利用扫描工具,基于互联网上已经公开的Structs2高危漏洞exp的扫描利用工具,目前支持的漏洞如下: S2-001, S2-003, S2-005, S2-007, S2-008, S2-009, 批量扫描利用工具 Options: -i, --info 漏洞信息介绍 -v, --version 显示工具版本 -u, --url TEXT URL 地址 -n, --name TEXT 指定漏洞名称, 漏洞名称详见info -f, --file TEXT 批量扫描URL文件, 一行一个URL -d, --data TEXT
2.5K20编辑于 2022-09-09 - 来自专栏渗透测试专栏
渗透测试信息收集技巧(2)——C段扫描和Web目录扫描
,系统指纹 提供上百个扩展脚本 Nmap-扫描C段主机存活 Nmap -sn -PE -n 192.168.1.1/24 -oX out.xml -sn 不扫描端口 -PE ICMP 扫描 -n 不进行dns解析 Nmap-定向端口扫描 Nmap -sS -Pn -p 3389 ip -sS 半开放扫描 -Pn 不进行主机存活探测 Nmap-全端口扫描 Nmap -sS -Pn -p 1-65535 -n ip -sS 半开放扫描 -Pn 不进行主机存活探测 Nmap-服务扫描 Nmap -sS -sV -p 1-65535 -n ip -sS 半开放扫描 -sV 显示出端口开放的服务 DIRB DIRB是一个Web内容扫描程序 通过字典查找WEB服务器的响应 DRIB只能扫描网站目录不能扫描漏洞 dirb https://www.xxx.com.cn /XXX/wordlist.txt Java应用程序,主要扫描服务器上的目录和文件名,扫描方式分为基于字典和纯爆破。
1.9K10编辑于 2024-09-26 - 来自专栏阿dai_linux
Python2 进程扫描脚本 原
需求 因近期有开发人员在跑脚本时占用系统内存太多导致系统其它进程宕掉,所以需要对系统进程进行扫描监控,如果检测到占用系统内存大于5G的进程就直接kill掉,但是担心误杀,所以暂时只做扫描并记录日志,进行观察 /usr/bin/env python2 # -*- coding:utf-8 -*- # 扫描所有进程内存占用量 import os import sys import psutil import |egrep -iv \"root|USER|CROND|redis|mysql|rabbitmq|celery\" |awk '$6>5242880{print $0}'|awk '{print $2, $6}'" # python之subprocess模块:https://docs.python.org/2/library/subprocess.html # https://www.cnblogs.com
69850发布于 2019-04-03 - 来自专栏FreeBuf
APP漏洞自动化扫描专业评测报告(中篇)
3.2.1 自动化脱壳 目前很多APP通过加壳来防止自己被反编译,而扫描器都是通过在反编译的代码中进行漏洞的扫描。如果扫描器不能自动化地脱去APP加的壳,则根本无法进行有效的漏洞扫描分析。 代码中一共有三个case,其中只有case 2有问题。将上述代码打包成apk,上传到除360和百度之外的三家扫描平台。 金刚扫扫描出case 2和case 3,而case 3是没有问题的,所以有一个误报。 为了检测扫描器是否有动态扫描的能力,我在测试APP中包含4处拒绝服务漏洞的代码,分别是空Intent拒绝服务2个、1个强制类型转换拒绝服务和1个对象序列化拒绝服务。扫描结果如下表所示。 扫描能力小结 以下表3-9是此次扫描能力的结果: 表3-9 扫描能力总览 阿里聚安全 360 金刚 百度 AppRisk 自动化脱壳 √ 未知 × √ × 静态-检测隐藏Dex √ × × √ × 静态
2K50发布于 2018-02-08 - 来自专栏FreeBuf
APP漏洞自动化扫描专业评测报告(上篇)
目前在业界有很多自动化检测APP安全性的在线扫描平台。 为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。 爱加密扫描速度很快,但整个漏洞扫描就是为其加密模块做铺垫,扫描项非常简单,没有实际的漏洞扫描,只是简单的字符串匹配,故扫描速度非常快。 元/次 新用户可以获得一张9元代金券,只能用百度钱包支付剩余的0.9元 AppRisk Scanner 不详 普通账户可以测试2个app,随后可以通过可以通过邮件联系AppRisk升级账户 爱加密 免费 由于这些检测能力决定了扫描器扫描结果的精度和准度,因此我详细分析了各个扫描平台的扫描能力。 更多精彩内容点击阅读原文可见。
3.2K60发布于 2018-02-08 - 来自专栏MasiMaro 的技术博文
使用Python调用Nessus 接口实现自动化扫描
之前在项目中需要接入nessus扫描器,研究了一下nessus的api,现在将自己的成果分享出来。 Nessus提供了丰富的二次开发接口,无论是接入其他系统还是自己实现自动化扫描,都十分方便。 credentials 是配置登录扫描的,主要包括 windows、ssh、telnet等等 plugins 配置扫描使用的插件,例如服务扫描版本漏洞等等 在settings中,对应关系如下图所示 ", "snmp_port": "161", "additional_snmp_port1": "161", "additional_snmp_port2" "aws_eu_west_1": "", "aws_eu_west_2": "", "aws_eu_west_3": "", "aws_eu_central 使用接口 GET /scans/{scan_id} 可以获取最近一次扫描的任务信息,从接口文档上看,它还可以获取某次历史扫描记录的信息,如果不填这个参数,接口中会返回所有历史记录的id。
4.5K41发布于 2020-02-12 - 来自专栏信安之路
无需接触目标的端口自动化扫描姿势
网络测绘系统就是一个大型的网络扫描器,其核心数据就是全网 IP 的端口和服务开放情况的集合,所以在对目标边界进行探测之前,可以通过被动查询的方式获取目标的一些情况,这里提到的网络空间搜索引擎主要包括: Censys 这里推荐一个利用多平台端口扫描工具 heinsenberg,项目地址: https://github.com/n4xh4ck5/heinsenberg 安装方式: git clone https 总结 利用网络空间搜索引擎进行端口信息收集,无需直接针对目标进行端口扫描就能获取比较全面的资产服务开放情况,即能节省大量扫描端口的时间,又能尽可能少的直接接触目标,一举多得。
63840发布于 2021-07-06 - 来自专栏kali blog
自动化进行目标资产探测和安全漏洞扫描
关于 自动化进行目标资产探测和安全漏洞扫描|适用于赏金活动、SRC活动、大规模使用、大范围使用|通过使用被动在线资源来发现网站的有效子域|使用零误报的定制模板向目标发送请求,同时可以对大量主机进行快速扫描 |提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,模拟各种安全检查 作者项目地址: https://github.com/ExpLangcn/FuYao-Go 功能 子域名枚举资产收集 批量子域名枚举资产收集 Chaos 资产收集 资产存活验证 批量资产存活验证 安全漏洞验证 批量安全漏洞验证 子域名枚举资产收集、资产存活验证、安全漏洞扫描联动 FoFa自动资产探测 Shodan自动资产探测
30310编辑于 2025-07-28 - 来自专栏python3
Python自动化开发学习2-2
集合 创建集合可以用set(),或者直接用{} set_a = set([1,2,3,4,5]) set_b = {1,3,5,7,9} print(set_a) print(set_b) print( 别的到用的时候再去查吧 set_a = set([1,2,3,4,5]) set_b = {1,3,5,7,9} print(set_a | set_b) # 并集 print(set_a & set_b 集合删除的3中方法: set_a = set([1,2,3,4,5]) set_b = {1,3,5,7,9} c = set_a.pop() # 随机删除一个,返回值为删除的元素 print(c,set_a set_b.remove(3) # 指定删除一个元素 print(set_b) set_b.discard(7) # 也是指定删除一个元素 print(set_b) set_b.discard(2) # discard允许尝试删除不存在的元素,但是remove会报错 #setb.discard(2) print(set_b) 文件的操作 open()打开文件。
65330发布于 2020-01-10 - 来自专栏电子电路开发学习
强大的JTAG边界扫描2-BSDL文件
上一篇文章,我们介绍了JTAG边界扫描的基础知识,今天我们来看看边界扫描测试必须使用到的一个文件,BSDL文件。 BSDL,Boundary Scan Description Language的缩写,即边界扫描描述语言,属于VHDL的一个子集,内容符合VHDL的语法标准,用于描述JTAG在指定设备中的实现方式,只要设备符合 2. bsdl.zip/files/stm32f2_bsdl.zip/jcr:content/translations/en.stm32f2_bsdl.zip STM32F17: https://www.st.com BSDL文件的应用 BSDL文件可以在一些边界扫描的软件中被使用,如XJTAG,TopJTAG等等,通过加载对应的BSDL文件可以实现对芯片外部所有管脚的读取和控制。
92920编辑于 2023-09-18 - 来自专栏机器学习入门
挑战程序竞赛系列(88):3.6平面扫描(2)
挑战程序竞赛系列(88):3.6平面扫描(2) 传送门:POJ 3168: Barn Expansion 题意: 求不重叠的矩形个数。 那么矩形不重叠等价于对应于的起点计数不超过2。 ? 接着分别沿x轴扫描,和y轴扫描即可。注意一个细节,排序时,横纵坐标相同时,起点优先,因为corner相碰算重叠。 Point[] toY = new Point[4 * MAX_N]; // 以y轴方向扫描 boolean[] ok = new boolean[MAX_N]; void } if (p.type == 0) { share ++; if (share >= 2) new Point(A, B, i, 0); toX[4 * i + 1] = new Point(A, D, i, 1); toX[4 * i + 2]
65550发布于 2018-01-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号