Security-List/wiki_WebSecurity.md
euphrat1ca 5bcf6d52c5 alot
2020-06-17 15:42:23 +08:00

27 KiB
Raw Blame History

web安全测试利用

资产信息搜集

资产端口扫描

资产信息收集

资产风险测试

  • https://github.com/ysrc/xunfeng //Py。巡风采用web界面由同程安全开发的网络资产管理、漏洞检测引擎。goodjob。2k。G:ody5sey/Voyager;G:CTF-MissFeng/bayonet;--
  • https://gobies.org/ //Goby是白帽汇资产风险管理工具。端口、服务、截图、弱口令测试。goodjob。W:rumble.run;G:grayddq/PublicMonitors;--
  • https://github.com/w-digital-scanner/w12scan //py3。django + elasticsearch + redis(去重+web与w12scan-client通信中间件)网络资产发现引擎通过WEB API下发任务。boy-hack开发。
  • https://github.com/TideSec/Mars //Py。基于docker资产安全检测集成awvs、创宇Pocsuite、nmap、hydra一键启动。G:0xbug/Biu-framework;G:jeffzh3ng/Fuxi-Scanner;--
  • https://github.com/vletoux/pingcastle //Py。AD域信息威胁等级测试
  • https://github.com/guardicore/monkey //Py。C2架构利用默认口令、exp、多种协议wmi组件、ssh、smb等方式进行攻击检测恶意病毒传播模拟测试。P:guardicore.com/infectionmonkey;G:lawrenceamer/0xsp-Mongoose;G:NextronSystems/APTSimulator;G:mitre/caldera;--
  • https://github.com/zhaoweiho/SecurityManageFramwork //PY3。SecurityManageFramwork-SeMF基于django2包含资产管理漏洞管理账号管理知识库管、安全扫描自动化功能模块可用于企业内部的安全管理。goodjob。G:ATpiu/asset-scan;--
  • https://github.com/alphasoc/flightsim //Golang。malicious恶意网路流量模拟测试.

资产漏洞生命周期

网站扫描器漏洞检测

漏洞测试框架

被动扫描检测

代理抓包

指纹识别主机端口服务

web模糊测试

web应用扫描器框架

前端利用

SSL/TLS安全

命令执行注入

XXE漏洞

CSRF跨站请求伪造利用

SSRF服务端请求伪造

XSS跨站脚本检测利用

XSS检测辅助

XSS漏洞利用平台框架

本地文件包含漏洞

上传漏洞利用

数据库利用/扫描/爆破

网站管理WebShell

php webshells

Java webshells

ASP/X webshells