Burp Suite是一个很强大的Web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。 平台中所有工具共享同一robust框架，以便统一处理HTTP请求、持久性、认证、上游代{过}{滤}理、日志记录、报警和可扩展性。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。 Burp

笑然 · 16793浏览 · 2016-12-05 00:01

作者：小马 灵感：接地气 下载：（含字典） 某云：http://pan.baidu.com/s/1pLbFUdl   pony (原版，不含字典) php一句话，10w字典5秒。 同样思路，另一工具：ShellBrute7kb.rar 下载：http://www.7kb.org/wp-content/uploads/2016/11/ShellBrute7kb.rar PS：编辑器

primzahl · 12968浏览 · 2016-12-06 22:37

相信，在WEB渗透测试的过程中，我们会遇到各种奇葩的场景，市面上的工具并不能帮助我们解决这些问题，但是手工测试效率又太低，那么： 各位老板提出要求，我会根据情况尝试写出工具。

ado · 17153浏览 · 2016-12-07 06:50

今天看到有人求可以爬取目录来爆破文件的帖子，其实猪猪侠之前写过一个，最近把猪猪侠的代码给重写，没有重写全部，主要重写了核心的部分。也是先爬虫然后解析目录，然后开始爆破具体文件，爬虫采用了广搜，可以控制爬虫深度，默认是6 ， 加了点简单去重，为了防止伪静态网页，规定了每页只爬20个链接。后面就是具体了解析目录然后去重，如果没有爬取页面，使用一些常见的目录进行爆破，字典还是猪猪侠的字典，如果大家有好的

cover · 15897浏览 · 2016-12-14 05:27

巡风 巡风是一款适用于企业内网的漏洞快速应急、巡航扫描系统，通过搜索功能可清晰的了解内部网络资产分布情况，并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。 其主体分为两部分：网络资产识别引擎，漏洞检测引擎。 网络资产识别引擎会通过用户配置的IP范围定期自动的进行端口探测（支持调用MASSCAN），并进行指纹识别，识别内容包括：服务类型、组件容器、脚本语言、CMS。 漏洞检测引擎会根据用

wolf · 18293浏览 · 2016-12-21 01:59

mongodb-redis匿名扫描脚本，支持mongodb和redis的匿名扫描，脚本是之前有需求写的，现在分享给大家学习和研究: ) 扫描截图： #coding=utf-8 import pymongo import redis import time import sys import threading import Queue q=Queue.Queue() class myThr

沦沦 · 13308浏览 · 2017-01-18 19:20

效果图 在压缩包里面有中文的使用说明 为什么用英文仅仅是觉得控制台打印中文不好看 英文都是连蒙带猜加谷歌翻译的 压缩包里面有两个exe 一个内置了默认配置200K 一个不带配置30多K 工具的两个配置文件 修改至nmap的两个配置文件[nmap-server-probes]和[nmap-services] 扫描默认使用TCP连接方式 虽然有提供SYN方式 但是并不建议使用 因为SYN并没有使用

crystal_lz · 10040浏览 · 2017-02-13 07:40

WebCruiser Web漏洞扫描器，一个有效和强大的Web渗透测试工具，将帮助您审计您的网站！它可以支持扫描网站以及POC（概念验证）的Web漏洞：SQL注入，跨站脚本，本地文件包含，远程文件包含，重定向，废弃备份等。与其他Web漏洞扫描程序相比，WebCruiser最典型的功能是WebCruiser Web漏洞扫描程序专注于高风险漏洞，WebCruiser可以单独扫描指定的漏洞类型，指定的

legend · 13761浏览 · 2017-02-19 21:31

新的即时消息 无论是公司还是政府，今天的数字监控是普遍的。 Tox是一个易于使用的软件，可以连接您与朋友和家人，没有任何人在监听。虽然其他大牌服务需要您支付功能，Tox是完全免费的，没有广告 - 永远。 https://tox.chat

hades · 9942浏览 · 2017-02-26 23:52

0x00 说明 1.脚本仅供测试，切勿用于非法用途，非法使用造成的一切后果由自己承担，与本作者无关。 2.爆破身份证号需要知道一定的信息和appkey。 0x01 演示 测试输入： 生成结果： 0x02 下载 https://github.com/sunnyelf/generate-and-crack-identity-card

sunnyelf · 13976浏览 · 2017-03-13 07:06

原文链接：http://avfisher.win/archives/676 0x00 前言 作为一个安全从业人员，在平常的工作中总是需要对一些web系统做一些安全扫描和漏洞检测从而确保在系统上线前尽可能多的解决了已知的安全问题，更好地保护我们的系统免受外部的入侵和攻击。而传统的web安全检测和扫描大多基于web扫描器，而实际上其是利用爬虫对目标系统进行资源遍历并配合检测代码来进行，这样可以极大的

安全小飞侠 · 28025浏览 · 2017-03-14 05:37

Author：cf_hb@勾陈安全实验室 Pdns_sniff是什么？ 简单理解为一个记录你发起过的DNS请求的东西，利用了Passive DNS 思路，被动的记录发起过的DNS请求。 Pdns_sniff有什么用？ 利用这样的工具可以帮助我在愉快的上网的同时，轻松搜集到测试目标的各种子域名。 Pdns_sniff原理是什么？ 利用了Python里的强大的Scapy套件，运用它抓取，解析出DNS请

勾陈安全 · 10074浏览 · 2017-03-29 22:08

还记得那个曾经在FreeBuf上发布的HTTPScan吗？ 那时候我还是一个刚接触网络的菜鸡，看着那个工具原理很简单，就有了重新造一个更好的轮子的想法。 于是我开始了Python学习之路，不停的搜着比threading更快更厉害的线程模块 （要比前面的轮子更好！） 由于自己的Python实在太烂，只能抄代码。最后的结果是写出了一个比原作还要烂的工具。 因此我开始潜心学习，一定要写一个更厉害的轮子！

ze7o · 10048浏览 · 2017-03-29 23:56

来源地址：https://github.com/rasta-mouse/Sherlock mimipenguin A tool to dump the login password from the current linux desktop user. Adapted from the idea behind the popular Windows tool mimikatz. Details

hades · 11517浏览 · 2017-04-04 21:50

OWASP ZAP 2.6 好久好久没更新了，昨天发现OWASP群里面有说。然后就下载了 Github 下载 https://github.com/zaproxy/zaproxy/wiki/Downloads

ze7o · 10760浏览 · 2017-04-11 21:27