Skip to content

susuxi/Security-collection

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

9 Commits
 
 

Repository files navigation

Security-collection

[toc]

信息收集

=>theHarvester
收集邮箱, 子域名, IP,的工具。使用Python 3.6

=>subdomain-bruteforcer (SubBrute)
子域名暴破工具,也是扫描器中最常用的子域名API库

=>cve-search
将CVE和CPE导入mongoDB并进行搜索和处理的工具。包括用于存储漏洞和相关信息的后端,用于搜索和管理漏洞的Web界面,用于查询的一系列工具以及Web API接口。python3.3以上

=>INURLBR
基于PHP的高级搜索引擎。支持24个搜索引擎,拥有6个深度web或者特殊选项。通过对捕获的URL/email分析,可进行攻击或检测。

=>subDomainsBrute
渗透测试目标域名收集,高并发DNS暴力枚举,发现其他工具无法探测到的域名, 如Google,aizhan,fofa。

信息泄露

=>GitPrey
github敏感信息扫描工具

=>truffleHog
github敏感信息扫描工具,可以搜索commit历史与分支

漏扫工具

=>The Zed Attack Proxy (ZAP)
web上执行手工渗透测试以及自动扫描的工具,类似bp。

=>WAScan
黑盒漏洞扫描。指纹识别、攻击、审计、暴破和泄露检测。使用python2.7

=>Osprey
斗象能力中心开发维护的漏洞检测与利用框架。

=>Nikto
可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试

=>Arachni
高度集成化的Web应用漏洞扫描框架,支持REST、RPC等api调用

=>HaboMalHunter
Linux平台下进行自动化分析、文件安全性检测的开源工具。

=>W3af
开源web应用安全漏扫工具,可以识别和利用web应用漏洞。可识别包括XSS、Sqli、命令注入的200+个漏洞

审计

=>Cobra
支持十几种语言源代码安全审计。中文开发,相关文档和视频资料比较详细。可生成报表

内网

=>DBScanner
自动扫描内网常见sql、no-sql数据库脚本(mysql、mssql、oracle、postgresql、redis、mongodb、memcached、elasticsearch),包含未授权访问及常规弱口令检测

=>LNScan
内网信息扫描

攻击

[只作学习用途]
=>WiFi-Pumpkin
无线安全渗透测试套件

=>Wifiphisher
wifi钓鱼攻击工具。可以对具体的WiFI客户端进行攻击,例如获取用户凭证或感染恶意软件。非暴破,使用社工进行信息收集

=>backdoor-apk
为安卓apk添加后门。需要有Linux, Bash, Metasploit, Apktool, Android SDK, smali等知识便于使用

=>Winpayloads
windows payload生成工具。可以生成无法被检测到的payload

=>sqlmap 居家必备,脱裤跑路sql注入学习利器

About

list of my collection

Resources

Stars

Watchers

Forks

Releases

No releases published

Packages

 
 
 

Contributors