记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

十大开源Web应用安全测试工具

Web应用安全测试可对Web应用程序执行功能测试,找到尽可能多的安全问题,大大降低黑客入侵几率。在研究并推荐一些最佳的开源Web应用安全测试工具之前,让我们首先了解一下安全测试的定义、功用和价值。安全测试的定义安全测试可以提高信息系统中的数据安全性,防止未经批准的用户访问。在Web应用安全范畴中,成功的安全测试可以保护Web应用程序免受严重的恶意软件和其他恶意威胁的侵害,这些恶意软件和恶意威胁可能导致Web应用程序崩溃或产生意外行为。安全测试有助于在初始阶段解决Web应用程序的各种漏洞和缺陷。此外,它还有助于测试应用程序的代码安全性。Web安全测试涵盖的主要领域是:认证方式授权书可用性保密一致性不可否认安全测试的目的全球范围内的组织和专业人员都使用安全测试来确保其Web应用程序和信息系统的安全性。实施安全测试的
发布时间:2020-05-19 23:05 | 阅读:9842 | 评论:0 | 标签:技术产品 首页动态 Web应用安全 开源 测试工具

从网络侧分析蚁剑交互流量

中国蚁剑是一款跨平台且十分优秀的开源网站管理工具,面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。它集文件管理、虚拟终端、数据管理功能于一身,可在windows、linux和Mac上正常运行。本文从网络侧出发,从http流量层面对蚁剑功能和逃逸方式等进行分析,旨在帮助大家在网络流量层面进一步了解蚁剑。 一、AntSword基本操作 蚁剑操作界面比较简单,易于操作。我们右键向蚁剑工作区域添加数据,进行基础配置,填入shell地址、连接密码等等,就可以进行连接。另外,它还可以对请求包的编码方式进行选择,并且进行分块传输、自定义分割字符等自定义配置。 蚁剑支持php、asp、aspx、custom和php4的站点管理,连接后,可以进行虚拟终端、文件管理等多种操作。在几种语言环
发布时间:2020-03-16 12:07 | 阅读:29702 | 评论:0 | 标签:网络安全 中国蚁剑 开源 流量

代码审计 | SiteServerCMS身份认证机制

一、前言 SiteServerCMS是一款开源免费的企业级CMS系统,功能比较丰富,代码一多起来,难免会有些漏洞产生,之前应急响应碰到过几次这个系统,有些问题修复了,有些问题依然还在,趁着整理之前零散的资料,结合6.14.0版本写个总结。 SiteServerCMS有多种身份认证方式,这里以最常见的Cookie认证来展开分析: 官网: https://www.siteserver.cn/ Github: https://github.com/siteserver/cms/releases 二、身份认证 2.1 登录框 从何说起呢?渗透,经常开局就只有一个登录框,有时还有验证码,那就从登录框开始吧,SiteServerCMS是后台管理+前台内容
发布时间:2020-03-11 08:36 | 阅读:34596 | 评论:0 | 标签:WEB安全 漏洞 代码审计 开源 身份认证 cms 审计

Apollo框架可行性分析

Apollo(阿波罗)是携程框架部门研发的开源配置管理中心,能够集中化管理应用不同环境、不同集群的配置,配置修改后能够实时推送到应用端,并且具备规范的权限、流程治理等特性。本文意在测试apollo的高可用性与安全性。 一、测试目的 随着程序功能的日益复杂,程序的配置日益增多:各种功能的开关、参数的配置、服务器的地址…… 对程序配置的期望值也越来越高:配置修改后实时生效,灰度发布,分环境、分集群管理配置,完善的权限、审核机制…… 在这样的大环境下,传统的通过配置文件、数据库等方式已经越来越无法满足开发人员对配置管理的需求。 Apollo配置中心应运而生! 测试apollo的高可用性与安全性。 二、测试范围 本次测试包括以下几个方面: 针对配置
发布时间:2020-03-09 12:24 | 阅读:21675 | 评论:0 | 标签:企业安全 Apollo 开源 框架

Hades开源白盒审计系统V1.0.0

一、引言 为什么要开发这么一个白盒审计系统呢?其实,自己开发白盒审计系统的想法已经在我的脑海中存在很久了。一方面,之前大学毕业之后在白盒方面花了挺多时间的,不过由于各方面原因,一直没有特别突出的进展,之后又转做木马病毒方面的攻防研究,白盒的方面的研究搁置了很久,心里一直耿耿于怀。另一方面,最近在做一个安卓相关的项目,项目中自己实现了一套针对smali字节码的虚拟解释执行引擎,然后就突发一个想法,android也是使用java进行开发的,那么能不能直接复用这套虚拟解释执行引擎来对java源码进行分析呢? 经过调研,发现java字节码可以通过安卓sdk中的dx.jar转为smali字节码。这样一来,实现java白盒的代价就小了很多。虽然现在并不是在做白盒相关的工作,但是还是希望凭借自己对语言的理解,以及编码能力,自
发布时间:2020-03-03 15:01 | 阅读:29352 | 评论:0 | 标签:工具 Hades 开源 白盒审计系统 审计

XAttacker:一种正在扩散中的新型Web漏洞利用工具

背景介绍 作为一名威胁情报分析员,日常工作之一就是及时发现各种新的网络威胁,比如,了解攻击者当下使用的新的漏洞和工具,这样做有利于你尽快的识别并抵御这些威胁。 前几天,在进行日常的蜜罐分析时,发现了一些可疑的流量试图上传一个名为“XAttacker.php”的shell。由于之前没有遇到过这个脚本,于是我把它丢给了Google搜索,找到了该工具的 GitHub页面: 该工具于11月7日被上传到GitHub上,目前已有25颗星星,被Fork过16次(截止到本文发表时的统计数据)。XAttacker的目的针对基于PHP开发的CMS平台进行简单的漏洞利用,在Github页面上展示的攻击列表中,可以看到WordPress、Joomla、DruPal、Prestashop和Lokomedia等主题及可选择的67个漏洞
发布时间:2017-11-18 23:45 | 阅读:143329 | 评论:0 | 标签:工具 shell XAttacker 开源 漏洞利用工具 漏洞

Android 字符串及字典混淆开源实现

Android上对App进行混淆是常见的事情,目的就在于一定程序上保护app的逻辑不被逆向,同时还可以减少app的体积。 在开发中常用的混淆工具首先就要提ProGuard了,这是一款免费工具,默认已被Android IDE集成,开发者只需要适当的进行配置混淆规则就可以使用proguard来混淆app,但既然是免费软件,局限性自然也比较大,首先就是不支持字符串混淆,如果要使用字符串混淆,就需要使用它的商业版本DexGuard。 既然没有免费的字符串混淆工具,那就自己先实现一个,分析了JEB(Android反编译工具),Zelix(JAVA混淆器),BurpSuite(网络代理工具)等几款混淆效果比较好的软件,了解了它们的实现思路后,自己写了个简单的字符串混淆工具,先上效果: 可以看到,这里的字符串已经被处理成1
发布时间:2017-03-09 11:40 | 阅读:275868 | 评论:0 | 标签:终端安全 Android 字典混淆 字符串 开源

PunkSpider:开源自动化漏洞扫描系统

项目主页 https://bitbucket.org/punkspider/punkscan/src/ 简介 PunkSpider是一款由PunkScan出品的大型WEB漏洞扫描器,我们利用它已经建立了一个稳定的扫描体系,每日可以实现无人值守式的运行。此外,其中运行了一个Apache Hadoop集群,每天能处理的扫描任务数以万计。 特点 该扫描服务会在网上随机爬行,寻找可能存在漏洞的WEB应用,发起一些诸如SQL盲注、传统SQL注入,以及XSS等攻击。游客可以通过PunkSpider搜索一个URL或者一个关键词,得到相关网站的结果。它采用了如Apache Hadoop等大数据级别的高端技术,这些都是开源的。 PunkSpider项目的设计思想是:站长可以通过搜索自己的网站来验证其是否做好了基本的安全措施,这
发布时间:2016-12-02 03:35 | 阅读:302561 | 评论:0 | 标签:工具 PunkSpider 开源 漏洞扫描 自动化 扫描 漏洞

勒索软件的开源真的有利于信息安全的发展吗?

把勒索软件的源代码上传到GitHub?安全研究专家现在也无法确定这样做是否真的有利于信息安全的发展。根据我们的调查,当我们发表了第一篇关于这一话题的文章之后,安全研究专家MaksymZaitsev(CryptoTrooper的作者)就决定要删除他托管在GitHub中的项目了。接下来,我们要在这篇文章中深入分析一下到底应不应该开源勒索软件。 CryptoTrooper–【GitHub传送门】 CryptoTrooper是一款专门用于构建Linux勒索软件的开源工具,而在“勒索软件是否可以开源”的这一话题上,这款工具的诞生也将信息安全社区划分成了两个阵营。在此之前,UtkuSen所开发的EDA2和Hidden Tear这两款勒索软件就已经引发了信息安全社区的广泛讨论。这一话题的核心无非就是两个问题:首
发布时间:2016-11-05 17:00 | 阅读:91871 | 评论:0 | 标签:观点 github 勒索软件 开源

机器学习之识别简单验证码

前言 关于验证码识别的文章网上很多图像识别的大神教程也比较多,不过大多数专业性太强了,对非专业人士读起来简直是天书,不过随着机器学习的普及,一大批机器学习的开源工具出现了,这也算对大多数像我一样的学渣的福音,由于最近项目中牵扯到了一些机器学习相关的东西,所以自己最近也一直在学习机器相关的东西,这篇验证码的识别也算是练手了,本文也算是学习中的笔记,所以文章中难免有一些错误,欢迎各路大神指点。 由于本人不是相关专业的,对于文中相关算法就不会具体去讨论了,主要以实战为目的。 准备工作 主要是用到了一些机器学习开源的框架以及一些辅助工具。 Scikit-Learn 比较有名的Python机器学习模块,主要是操作简单。 Pybrain Python机器学习模块,主要以神经网络为核心,所有的训练方法都以神经网络为一个实例
发布时间:2016-10-19 15:20 | 阅读:249642 | 评论:0 | 标签:网络安全 开源 机器学习 机器学习框架 验证码识别

ssh-audit:开源SSH服务器审计工具

项目主页 https://github.com/arthepsy/ssh-audit 简介 ssh-audit是一款用于审计ssh服务器的开源工具 特性 SSH1及SSH2协议服务器的支持; 抓取banner,识别设备或软件和操作系统,检测压缩; 收集交换密钥,主机密钥,加密和消息认证码算法; 输出算法信息 (available since, removed/disabled, unsafe/weak/legacy, etc等); 输出算法建议(添加或删除基于公认的软件版本); 输出安全信息(有关的问题,分配CVE列表等); 分析基于算法的信息SSH版本的兼容性; 从OpenSSH的,Dropbear SSH和libssh历史信息; 没有依赖关系,与Python 2.6+,Python的3.x和PyPy兼容;
发布时间:2016-10-16 22:50 | 阅读:198083 | 评论:0 | 标签:工具 ssh-audit ssh安全 ssh安全审计工具 ssh审计 审计工具 开源

​数据库安全8项最佳实践

当数据流在急速涌入数据中心和云存储系统时,IT经理和存储管理员必须为此做好准备,尤其是当遇到数据流量洪峰的时候。借助为数据流量提供额外数据的设备数量优势,数据分析、业务指标以及仪控测量已经完全改变了现代企业处理业务的方式。如今,每年企业需要处理的数据一般在PB量级,这也使得企业在趋于劳动密集型的同时,对数据的保护也更加困难复杂,即使是处于结构化环境中的企业数据库也如此。实际上,最近Forrester Research对企业的IT经理人展开的一项调研表明,71%的企业仍在艰难的保护他们数据库中珍贵的公司数据。如洪水般泛滥的数据安全威胁已经“淹没”了那些准备不周的企业,恰当的数据管理和保护已是刚需。下面是开源MariaDB社区 Forrester Researchand 关于数据库保护的8项最佳实践:1. 不要让你
发布时间:2016-08-12 15:05 | 阅读:105766 | 评论:0 | 标签:术有专攻 加密 开源 数据库安全

WinPcap威力加强版:这个国产开源工具获得了Google赞助

Npcap是致力于采用Microsoft Light-Weight Filter (NDIS 6 LWF)技术和Windows Filtering Platform (NDIS 6 WFP)技术对当前最流行的WinPcap工具包进行改进的一个项目。Npcap项目是最初2013年由Nmap网络扫描器项目创始人Gordon Lyon和北京大学罗杨博士发起,由Google公司Summer of Code计划赞助的一个开源项目,遵循MIT协议,与WinPcap一致。Npcap基于WinPcap 4.1.3源码基础上开发,支持32位和64位架构,在Windows Vista以上版本的系统中,采用NDIS 6技术的Npcap能够比原有的WinPcap数据包(NDIS 5)获得更好的抓包性能,并且稳定性
发布时间:2016-05-26 04:25 | 阅读:133930 | 评论:0 | 标签:工具 npcap 开源 抓包工具

RFIDler:一款定义RFID的读、写、仿真器的开源软件

很多类似于RFID这样的技术看起来都很神秘,实际上他是依赖于很多物理学原理的,比如”电磁感应原理”。是的,这些现象产生的各种信号足以令人发狂,看完这些模拟模拟信号后,我忽然发现二进制信息多么干净美丽。所以我一直在找一个工具,可以把这些模拟世界转化成友好的数据,RFID就是主要的对象。近些年来,越来越多RFID/NFC产品出现了,可能在你的口袋里就有好几个这样的东西——比如,你的车钥匙、门的钥匙、信用卡等等。当然,他们都有各自的RFID阅读器可以读取他们的信息,但是我关心的是,有没有一个RFID阅读器可以读取所有RFID上的信息,并且这个阅读器还很小且很便宜。凭心而论,似乎有很多阅读器都可以达到我的要求,你可以买个很简单的RFID USB阅读器,大概也只需要10-15英镑。但是之后
发布时间:2016-05-24 21:45 | 阅读:139466 | 评论:0 | 标签:工具 RFID RFIDler 开源

Facebook CTF平台宣布开源

入侵计算机,网络和网站很容易让你进监狱。但是如果你有一个安全合法的环境来免费测试和练习你的黑客技能呢? 你还会入侵计算机,入侵网络,入侵网站吗? 今天得到消息,为了鼓励学生和开发者来了解网络安全和进行安全编码的实践,Facebook刚刚将它的CTF平台开源了。Facebook CTF 视频: 从2013年开始, Facebook就在全世界举办CTF竞赛。现在,它将它的ctf平台源码放在Github 上开源并向大众开放ctf平台。  Facebook安全部工程师Gulshan Singh说:我们为所有人提供了一个能在后台维护的CTF平台,它有CTF游戏地图,能注册团队,还有
发布时间:2016-05-13 08:35 | 阅读:151995 | 评论:0 | 标签:工具 FB CTF 开源

开源界何时不再玩捉迷藏游戏?

原文出处: TechRepublic-Jack Wallen   译文出处:51CTO-布加迪 开源开发人员提交应用程序后,眼睁睁看着它们渐归湮灭。有些软件是我每天都在使用的,我不明白它们为何没得到广泛使用。开源开发人员在不知疲倦地开发作品,到头来却得不到多大的回报。是到了改变这种现状的时候了。本文作者认为,解决这个问题的钥匙在于开发人员和统一软件包管理器的手里。 最近,我读到了另一位开源倡导人士所写的一篇博文,这篇博文探讨了我再熟悉不过的一个话题。作为如今市场上的小说家,不用说,如果公众不知道你的作品,你的作品就会无人问津。由于越来越多的人自诩为作家,小说界已成为一个庞大的废稿堆,连最优秀的作家也会被淹没在堆积如山的“平庸作品”当中。 这个比喻也适用于编写开源软件的那些人。唯一的区别在于,他们用来帮助宣传作
发布时间:2015-12-10 01:05 | 阅读:87092 | 评论:0 | 标签:技术 科技 开源

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词