第七十四天漏洞发现-Web框架中间件插件&BurpSuite&浏览器&被动&主动探针

第74天 漏洞发现-Web框架中间件插件&BurpSuite&浏览器&被动&主动探针

最近几天都是演示工具如何使用如:AWVS、Nessus、nexpose等综合性利用工具。

Burp插件和漏扫工具的区别

知识点:

1、浏览器插件&BurpSuite插件

2、Hack-Tools&pentestkit&fofa view等

3、Fiora&Spring&Fastison&Shiro&Log4等

市面上有很多漏扫系统工具蜘本,课程讲到的基本都是目前主流推荐的优秀项目!

具体项目:Burpsuite,Awvs,Xray,Goby,Afrog,Vulmap,Pocassist,Nessus,

Nuclei,Pentestkit,Nexpose,BP(HaE,ShiroScan.FastJsonScan,Log4j2Scan).

章节点:

1、漏洞发现-Web&框架层面

2、漏洞发现服务&中间件层面

3、漏洞发现-APP&小程序层面

4、漏洞发现PC操作系统层面

演示案例:

浏览器插件-辅助&资产&漏洞库-Hack-Tools&Fofa view&Pentestkit

BurpSuite插件-被动&特定扫描-Fiora&Spring&Fastison&Shiro&Log4j

浏览器插件-辅助&资产&漏洞库-Hack.Tools&Fofa view&Pentestkit

资产:https://github.com/fofapro/fofa_view

信息收集 需要fofa为登录状态

辅助:https://github.com/LasCc/Hack-Tools

工具箱包含有 反弹shell、系统命令、文件包含语句等

漏洞库:https://github.com/DenisPodgurskii/pentestkit

信息收集、漏洞探测、waf识别

BurpSuite插件-被动&特定扫描-Fiora&Spring&Fastjson&Shiro&Log4

https://github.com/bit4woo/Fiora

功能:联动nuclei进行单个或多个poc测试

https://github.com/metaStor/SpringScan

SpringScan 漏洞检测 Burp插件

https://github.com/Maskhe/FastjsonScan

https://github.com/bigsizeme/Log4j-check

被动lg4j扫描 支持RC1绕过 log4J burp被扫插件、CVE-2021-44228、支持RC1绕过、支持json数据类型、支持dnslog.cn和burp内置DNS、可配合JNDIExploit生成payload

https://github.com/pmiaowu/BurpShiroPassiveScan

一款基于BurpSuite的被动式shiro检测插件

https://github.com/projectdiscovery/nuclei-burp-plugin

相关推荐
泯泷10 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷10 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt5 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab9 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31113 天前
VPN 与内网穿透
安全
Mr_愚人派14 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao14 天前
【无标题】
人工智能·安全
Alsn8614 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院14 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全