震惊!都2020年了,白帽子的工具该更新了

华盟原创文章投稿奖励计划

如果下面的工具,你都没用过,那趁早转行吧。

1、xray  

Github 3066星 

(https://github.com/chaitin/xray) 

是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。

适用人群

白帽子。挖 SRC 必备,打开浏览器挂上代理,然后上网冲浪等漏洞就对了,还不够的话就把代理给你爸妈、给你妹子、给你家猫都挂上甲方安全建设者。工具在手,天下我有,细粒度配置,高精度扫描,可作为定期巡检、常规扫描的辅助神器乙方工具开发者。在编写渗透框架或者漏洞扫描框架时,作为扫描探针进行集成,简直是大平台中的小尖刀。

震惊!都2020年了,白帽子的工具该更新了

2、crawlergo

Github 527星 

(https://github.com/0Kee-Team/crawlergo) 

crawlergo是一个使用chrome headless模式进行URL入口收集的动态爬虫。使用Golang语言开发。

震惊!都2020年了,白帽子的工具该更新了

3、Wfuz

Github 2643星 

(https://github.com/xmendez/wfuzz) 

Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。

$ wfuzz -w wordlist/general/common.txt --hc 404 http://testphp.vulnweb.com/FUZZ ******************************************************** * Wfuzz 2.2 - The Web Bruteforcer                      * ******************************************************** Target: http://testphp.vulnweb.com/FUZZ Total requests: 950 ================================================================== ID      Response   Lines      Word         Chars          Request ================================================================== 00022:  C=301      7 L        12 W          184 Ch        "admin" 00130:  C=403     10 L        29 W          263 Ch        "cgi-bin" 00378:  C=301      7 L        12 W          184 Ch        "images" 00690:  C=301      7 L        12 W          184 Ch        "secured" 00938:  C=301      7 L        12 W          184 Ch        "CVS" Total time: 5.519253 Processed Requests: 950 Filtered Requests: 945 Requests/sec.: 172.1247

4、Httprobe

Github 573星 

(https://github.com/tomnomnom/httprobe)

获取域名列表,并探查可正常访问的http和https服务器。

震惊!都2020年了,白帽子的工具该更新了

5、Gobuster

Github 2857星 

(https://github.com/OJ/gobuster)

Gobuster是用于暴力破解的工具:

  • 网站中的URI(目录和文件)。

  • DNS子域(具有通配符支持)。

  • 目标Web服务器上的虚拟主机名。

震惊!都2020年了,白帽子的工具该更新了

当然Burpsuite、Sqlmap、Nmap、Metasploit等工具,还是必须要掌握的。

最后推荐一个项目:

https://github.com/nahamsec/bbht

用于安装白帽子挖漏洞时最受欢迎的工具。

www.idc126.com

本文来源平头哥SEC,经授权后由congtou发布,观点不代表华盟网的立场,转载请联系原作者。

发表评论