- 综合排序
- 最热优先
- 最新优先
- 来自专栏大侠之运维
自动化网络扫描工具
今日推荐:8个实用的JSON在线工具网站推荐文章链接:https://cloud.tencent.com/developer/article/2469110 本篇文章主要推荐了几个日常开发过程中会用到的 随着信息安全威胁的日益复杂,自动化工具的需求愈加迫切。 集成多种攻击模拟undefinedbbot 不仅支持基础的网络扫描,还能够模拟多种攻击,如 SQL 注入、跨站脚本(XSS)、弱密码攻击等。 强大的自动化能力undefined如今,自动化在网络安全领域占据着至关重要的地位。bbot 正是基于这一趋势设计,能够自动化地进行一系列渗透测试步骤,极大地减轻了手动操作的负担。 无论是扫描网络漏洞、测试密码强度,还是检测网络配置问题,都可以通过脚本和配置文件的自动化执行来完成。
62610编辑于 2024-11-22 - 来自专栏全栈程序员必看
python flake8 代码扫描
一、介绍 Flake8 是由Python官方发布的一款辅助检测Python代码是否规范的工具,flake8是下面三个工具的封装: PyFlakes Pep8 NedBatchelder’s McCabe script Flake8通过启动单独的flake8脚本运行所有工具,它在一个Per文件中显示告警,合并到输出中。 Zbj_project/path/test.py Zbj_project 6、关于Flake8更多命令参考 flake8 –-help 7、Flake8的小插件 Flake8相比其他Python静态代码检查工具的优势在于其良好的扩展性 安装 pip install pep8-naming 8、在Jenkins上分析flake8的报告 在Flake8上安装插件,flake8-junit-report将flake8的报告转换为junit format 1.安装flake8-junit-report pip install flake8-junit-report 2.输出Flake8测试报告 flake8 --output-file flake8
99630编辑于 2022-09-30 - 来自专栏Bypass
使用SonarQube实现自动化代码扫描
将Sonar引入到代码开发的过程中,提供静态源代码安全扫描能力,这无疑是安全左移的一次很好的尝试和探索。 ---- 1、安装Findbugs插件 Sonar有自己的默认的扫描规则,可通过安装Findbugs插件,来提升代码漏洞扫描能力。 (2)代码漏洞扫描效果测试: 默认的扫描规则与FindBugs Security Audit的对比。 ? 3、Gitlab集成 通过Gitlab集成Sonar,就可以实现提交代码后自动邮件反馈扫描结果。 4、Jenkins集成 通过Jenkins集成Sonar,就可以实现在流水线做自动化持续代码扫描。 (1)在Jenkins中,使用Pipeline流水线,拉取代码、执行打包、代码扫描。 ?
6.4K30发布于 2021-08-13 - 来自专栏网络安全攻防
【神兵利器】自动化巡航扫描框架
项目介绍 ApolloScanner是一款自动化巡航扫描框架(可用于红队打点评估) 功能介绍 资产收集(需要主域名,资产对象可直接在爆破和漏扫过程中调用) 子域名收集(需要virustotal-api-token ) cname收集 ip地址(a记录)收集 开放端口扫描(基于masscan) 端口对应服务、组件指纹版本探测(基于nmap) http标题探测 http框架组件探测 github敏感信息收集 基于域名和关键字的敏感信息收集 支持钉钉通知 支持exp对象调用 支持资产对象 支持批量资产 支持多线程(可配置) 代码动态编辑 代码动态调试 支持资产对象 exp注册模块 破解任务模块 破解结果模块 敏感路径探测任务 敏感路径探测结果 漏洞扫描模块
21810编辑于 2024-12-10 - 来自专栏Timeline Sec
工具 | 一款自动化过滤扫描结果的目录扫描工具dirsx
一款自动化过滤扫描结果的目录扫描工具 项目地址:https://github.com/chasingboy/dirsx 01 前言 当时正值华为发布遥遥领先, 加上“遥遥领先”只是开个玩笑, 大佬们见笑了 平时使用过 dirsearch|dirmap 等一些目录扫描工具,针对如今的 WEB 多样化,对扫描结果的过滤总感觉不符合预期。 字典第一个字母大写|全部字母大写|添加前后缀 返回页面 title, 如无 title 返回内容前面 30 个字符串 (默认|设置) 自动过滤模式,默认开启 (开启|关闭) 03 基本使用 指定字典进行扫描 dirsx -u https://www.baidu.com -w words.txt 指定目录递归扫描, 目前暂无添加结果递归功能扫描,担心目录误报 dirsx -u https://www.baidu.com # https://www.baidu.com/a/b/ # -> https://www.baidu.com/a/ # -> https://www.baidu.com/a/b/ 指定备份文件进行扫描
46710编辑于 2024-11-23 - 来自专栏潇湘信安
自动化漏洞扫描系统
工具介绍 info_scan是@huan666师傅实战沉淀几年的一款自动化漏洞扫描系统,包括IP基础信息探测模块(位置、属性、操作系统、端口、绑定的域名、公司名称、公司位置信息、网站标题、CDN信息、绑定网站指纹 、子域名),漏洞扫描模块,(weblogic、struts2、nuclei、xray、rad、目录扫描、js链接扫描、端口扫描、调用威胁情报抓取历史绑定url、网站指纹、信息泄露、vulmap、afrog 、fscan、DNS日志、shiro、springboot、服务弱口令扫描、识别重点资产),资产管理模块(资产发现、资产展示、CDN检测、存活检测、资产回退、重点资产识别),单个扫描模块报告支持在线预览 注意:保证系统正常运行需要2个项目: info_scan:漏洞扫描主系统 batch_scan_domain:xray+rad批量扫描,通过info_scan进行控制 使用说明 安装python3+MySQL ,第三是对URL数据进行处理 建议部署到Ubuntu系统下,不支持Windows系统 系统设计初衷就是集成开源漏洞扫描器,让测试人员通过网页一键完成扫描,提升工作效率 需要通过pip3安装requirements.txt
67810编辑于 2024-07-15 - 来自专栏FreeBuf
企业安全建设之自动化代码扫描
一、代码扫描的目标 网上关于代码扫描的介绍无一不是在推荐基于语法语义分析的代码扫描工具,典型的代表就是fortify、Checkmarx。 之前也使用过fortify进行自动化代码扫描,由于误报率太高导致推送给业务方的漏洞代码不被重视,也使安全部门的权威性受损。 另外一个原因是,fortify没法自定义扫描规则,当有内部特定代码风险的时候无法编写规则扫描,带来了一定的不便利性。 基于以上两点问题,对于代码扫描有了新目标。 首先扫描准确性要高,其次要能灵活的自定义规则。经过分析发现,再厉害的语法语义扫描器也避免不了误报,最大难点在于扫描器根本无法识别过滤函数的有效性。 3)遍历代码规则扫描文件,这里使用grep命令进行文件扫描。 首先这里会扫描定位规则,扫描出来定位规则后,后面会进一步判断前置规则和防御规则多条件判断是否存在代码风险。 ?
1.4K20发布于 2019-12-23 - 来自专栏女程序员的日常
ATmega8仿真——键盘扫描的学习
1 #include <iom8v.h> 2 #include "Delay.h" 3 /** 4 *PB口:连接一个LED数码管 5 *PC0:连接一个按键电路,按下呈低电平 6 * 7 */ 8 unsigned char CountNum; //全局变量,用来计数 9 10 //按键扫描函数 11 void ScanKey(void) 12 { 13 unsigned (1)在行和列的一个口中输出高电平,在另一个行列口读取一个扫描码; (2)在后一个行列口中输出高电平,在前一行列口读取第二个扫描码; (3)查表确定哪个按键被按下。 要实现每按下一个按键,就在LED数码管显示出该按键对应的值,按键断开后或默认显示“-”: 1 #include <iom8v.h> 2 #include "Delay.h" 3 /** 方法扩展: (1)除了像上面的对按键的接口不停的扫描, (2)还可以使用定时扫描,例如用一个定时器,每隔10MS 对按键接口进行扫描,看是否有按键按下; (3)也可以使用中断的方式去扫描,当按键按下时由硬件电路产生一个中断
1.4K10发布于 2017-12-25 - 来自专栏小生观察室
xray联动crawlergo自动化扫描爬坑记
crawlergo 目前支持以下特性: 原生浏览器环境,协程池调度任务 表单智能填充、自动化提交 完整DOM事件收集,自动化触发 智能URL去重,去掉大部分的重复请求 全面分析收集,包括javascript 添加 > 主体:Everyone > 把所有权限都打开 > 应用 > 确定退出 再重新执行go build crawlergo_cmd.go语句并会在当前目录下生成crawlergo.exe文件 自动化项目部署
2.8K60编辑于 2022-03-07 - 来自专栏小生观察室
xray联动crawlergo自动化扫描爬坑记
crawlergo 目前支持以下特性: 原生浏览器环境,协程池调度任务 表单智能填充、自动化提交 完整DOM事件收集,自动化触发 智能URL去重,去掉大部分的重复请求 全面分析收集,包括javascript 添加 > 主体:Everyone > 把所有权限都打开 > 应用 > 确定退出 再重新执行go build crawlergo_cmd.go语句并会在当前目录下生成crawlergo.exe文件 自动化项目部署
1.5K00编辑于 2022-01-13 - 来自专栏小生观察室
如何将xray利用与自动化扫描
image.png 视频内容 如何将xray利用与自动化扫描 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。
91100发布于 2021-03-04 - 来自专栏逸鹏说道
★Kali信息收集★8.Nmap :端口扫描
突然发现,微信一次最多推送8篇 参数:(Zenmap是Nmap图形化工具,不想打指令的可以直接使用) 详细:https://nmap.org/man/zh/index.html 篇幅太长,微信文章最多 TCP扫描:端口扫描中最稳定的,TCP三次握手 常用:nmap -sT -Pn ip地址 ? 完整:nmap -sT -p- -Pn ip地址 ? -sT TCP连接扫描(s=>哪种类型扫描? -254 SYN 扫描:★端口扫描中用的最多的,TCP两次握手(隐形扫描,速度快) 常用:nmap -sS -Pn ip地址 ? 扫描目的就是为了判断哪些端口开或关) 扫描的其他指令 -sV 参数用于版本扫描 -iL 批量扫描文件里面的ip -F: 快速模式-扫描较少,扫描默认端口 -v 输出的时候更详细 (使用-vv 或更多的更大的作用 \x9A\xE5\xAE\xA2\xE5\x9B\xAD - \xE5\xBC\x80\xE5\x8F\x91\xE8\x80\x85\xE7\x9A\x84\xE7\xBD\x91\xE4\xB8\x8A
3.2K40发布于 2018-04-09 - 来自专栏FreeBuf
APP漏洞自动化扫描专业评测报告(中篇)
由于这些检测能力决定了扫描器扫描结果的精度和准度,因此我详细分析了各个扫描平台的扫描能力。 3.2.1 自动化脱壳 目前很多APP通过加壳来防止自己被反编译,而扫描器都是通过在反编译的代码中进行漏洞的扫描。如果扫描器不能自动化地脱去APP加的壳,则根本无法进行有效的漏洞扫描分析。 表3-8 动态检测能力扫描结果 阿里聚安全 360 金刚 百度 AppRisk 空Intent Fuzz 2 0 1 0 0 强制类型转换 1 0 1 0 0 对象序列化 1 0 1 0 0 从表3 -8中可以看出,阿里聚安全可以扫描出所有的拒绝服务漏洞,金刚可以扫描出3处拒绝服务漏洞,漏报一处拒绝服务代码如下: ? 扫描能力小结 以下表3-9是此次扫描能力的结果: 表3-9 扫描能力总览 阿里聚安全 360 金刚 百度 AppRisk 自动化脱壳 √ 未知 × √ × 静态-检测隐藏Dex √ × × √ × 静态
2K50发布于 2018-02-08 - 来自专栏信安之路
无需接触目标的端口自动化扫描姿势
网络测绘系统就是一个大型的网络扫描器,其核心数据就是全网 IP 的端口和服务开放情况的集合,所以在对目标边界进行探测之前,可以通过被动查询的方式获取目标的一些情况,这里提到的网络空间搜索引擎主要包括: Censys 这里推荐一个利用多平台端口扫描工具 heinsenberg,项目地址: https://github.com/n4xh4ck5/heinsenberg 安装方式: git clone https 总结 利用网络空间搜索引擎进行端口信息收集,无需直接针对目标进行端口扫描就能获取比较全面的资产服务开放情况,即能节省大量扫描端口的时间,又能尽可能少的直接接触目标,一举多得。
63840发布于 2021-07-06 - 来自专栏MasiMaro 的技术博文
使用Python调用Nessus 接口实现自动化扫描
之前在项目中需要接入nessus扫描器,研究了一下nessus的api,现在将自己的成果分享出来。 Nessus提供了丰富的二次开发接口,无论是接入其他系统还是自己实现自动化扫描,都十分方便。 放入请求头信息中请求头的key为X-Cookie,值为 token=xxxx,例如 :X-Cookie: token=5fa3d3fd97edcf40a41bb4dbdfd0b470ba45dde04ebc37f8; "request_windows_domain_info": "no", "scan_webapps": "no", "start_cotp_tsap": "8" response = requests.post(api, headers=header, data=json.dumps(data, ensure_ascii=False).encode("utf-8" response = requests.post(api, headers=header, data=json.dumps(data, ensure_ascii=False).encode("utf-8"
4.5K41发布于 2020-02-12 - 来自专栏FreeBuf
APP漏洞自动化扫描专业评测报告(上篇)
目前在业界有很多自动化检测APP安全性的在线扫描平台。 为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。 www.ineice.com/ AppScan http://www-03.ibm.com/software/products/zh/appscan-mobile-analyzer Fortify SCA http://www8. 爱加密扫描速度很快,但整个漏洞扫描就是为其加密模块做铺垫,扫描项非常简单,没有实际的漏洞扫描,只是简单的字符串匹配,故扫描速度非常快。 5.38M) 6 458 无 1395 3 墨迹天气(14.9M) 16 1256 无 1577 4 手机百度(36.8M) 21 261 无 710 7 新浪微博(53.2M) 45 1112 无 无 8
3.2K60发布于 2018-02-08 - 来自专栏测试游记
Java自动化测试(Maven 8)
xml version="1.0" encoding="UTF-8"? -- 文件拷贝时的编码 --> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <project.reporting.outputEncoding >UTF-8</project.reporting.outputEncoding> <! -- 编译时的编码 --> <maven.compiler.encoding>UTF-8</maven.compiler.encoding> <aspectj.version>1.9.2
1.1K10发布于 2020-07-20 - 来自专栏betasec
8款WebShell扫描检测查杀工具(附下载地址)
而WebShell扫描检测工具可辅助查出该后门。 WebShell扫描工具适用 网上下载的源码 特定文件检测是否是木马 检测目标程序或文件是否存在后门 免杀检测识别率测试 1.D盾防火墙 阿D出品,免费,GUI,WebShell扫描检测查杀 支持系统: ,分为windows版和linux版 WebShellkiller作为一款web后门专杀工具,不仅支持webshell扫描,同时还支持暗链的扫描。 根据项目计划会逐步覆盖服务器资产管理、威胁扫描、Webshell扫描查杀、基线检测等各项功能。 在线查杀地址:http://tools.bugscaner.com/killwebshell/ 8.深度学习模型检测PHP Webshel ?
14.4K31发布于 2020-11-11 - 来自专栏云云众生s
Trivy为K8s增加KBOM漏洞扫描
扫描应用程序和代码中的漏洞是一种标准实践。但为何止步于此?Aqua 想要为 Kubernetes 带来与之相同水平的安全性。 译自 Akin to SBOM, Trivy Adds KBOM Vulnerability Scanning to K8s,作者 Itay Shakury 是 Aqua Security 的开源副总裁 SBOM的兴起 随着 Kubernetes 集群的漏洞扫描被忽略,应用程序代码和工件的扫描正在蓬勃发展。这种实践随时间推移而进化,并随着软件清单(SBOM)的普及在几年前达到高潮。 如今,扫描应用程序和代码中的漏洞已经是一种标准做法。但为什么就此停止?我们希望为 Kubernetes 带来与 SBOM 在应用领域得到相同水平的接受与采用。 Trivy 已经是现有操作系统的突出漏洞扫描器,通过最近添加 KBOM 和 Kubernetes 漏洞扫描,它正在完成另一个重要里程碑。
26510编辑于 2024-03-28 - 来自专栏kali blog
自动化进行目标资产探测和安全漏洞扫描
关于 自动化进行目标资产探测和安全漏洞扫描|适用于赏金活动、SRC活动、大规模使用、大范围使用|通过使用被动在线资源来发现网站的有效子域|使用零误报的定制模板向目标发送请求,同时可以对大量主机进行快速扫描 |提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,模拟各种安全检查 作者项目地址: https://github.com/ExpLangcn/FuYao-Go 功能 子域名枚举资产收集 批量子域名枚举资产收集 Chaos 资产收集 资产存活验证 批量资产存活验证 安全漏洞验证 批量安全漏洞验证 子域名枚举资产收集、资产存活验证、安全漏洞扫描联动 FoFa自动资产探测 Shodan自动资产探测
30310编辑于 2025-07-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号