漏洞利用工具:
clusterd - inclusterd是一个开源应用服务器攻击工具包。clusterd自动化识别应用服务器的指纹,侦察和利用。
jexboss - JexBoss是一个用于测试和利用JBoss Application Server漏洞的工具。
信息收集:
cangibrina - Cangibrina是一个多平台工具,旨在通过wordlist,google,nmap和robots.txt暴力获取网站相关信息。
dnstwist - dnstwist将您的域名作为种子接收,生成潜在网络钓鱼域名列表,然后检查它们是否已注册。
masscan - 这是最快的Internet端口扫描程序。它可以在6分钟内扫描整个互联网,每秒传输1000万个数据包。
Metagoofil - Metagoofil是一个工具,用于提取目标网站中公共文档(pdf,doc,xls,ppt等)的元数据。这些信息可能很有用,因为您可以获得有效的用户名,人名,以便稍后在bruteforce密码中使用攻击(vpn,ftp,webapps),该工具还将提取文档的有趣“路径”,我们可以在其中获取共享资源名称,服务器名称等。
shocker - 一种查找和利用易受Shellshock攻击的服务器的工具。
Web应用程序分析
Cansina - Cansina是一个Web内容发现应用程序。
hsecscan - HTTP响应头的安全扫描程序。
LFiFreak - 独特的自动LFi探索器,带有绑定/反向壳。
NoSQLMap - NoSQLMap是一个开源Python工具,旨在审计和自动注入攻击并利用NoSQL数据库中的默认配置弱点以及使用NoSQL的Web应用程序来公开数据库中的数据。
XXEinjector - 使用直接和不同的带外方法自动利用XXE漏洞的工具。
xssless - 用python编写的自动XSS有效负载生成器。
xsssniper - xsssniper是一个方便的xss发现工具,具有大规模扫描功能。
评论 (0)