记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

谷歌开源漏洞扫描工具OSV-Scanner

谷歌发布,一款前端接口。OSV数据库是一个分布式开源数据库,通过OSV格式存储漏洞信息。OSV-Scanner会基于OSV数据库评估项目的依赖项,显示与项目相关的所有漏洞。在扫描项目时,OSV-Scanner首先通过分析清单、软件材料清单(SBOM)和代码提交哈希值来确定正在使用的所有依赖项。这些信息用于查询OSV数据库,并报告与项目相关的漏洞。漏洞通过表格的形式或基于JSON的OSV格式(可选)进行报告。OSV-Scanner的漏洞扫描输出()提供了一种机器可读的JSON模式,用于表示漏洞信息。这种格式被用来加强与实际开源包中使用的命名和方案一致的版本规范。
发布时间:2023-01-19 09:17 | 阅读:480923 | 评论:0 | 标签:扫描 漏洞

hids wazuh 系列3-自定义内网扫描规则

0x00 介绍 1.背景介绍 传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。 随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。 2.用途介绍 Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
发布时间:2023-01-18 22:18 | 阅读:79658 | 评论:0 | 标签:扫描 内网

高效率开发Web安全扫描器之路(一)

 一、背景经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现他们大部分漏洞其实是通过工具挖掘的,比如说下面是CNVD上面的白帽子大佬我想成为大佬要怎么做我一直觉得自己是一个有梦想的人,我也想有一天自己的ID能出现在排行榜中,于是我凭借着自己那一点开发知识,认真研究了一下市面上的安全工具,以及怎么开发安全工具。
发布时间:2023-01-06 16:16 | 阅读:106824 | 评论:0 | 标签:扫描 安全

源海拾贝 | DarkAngel - 全自动白帽漏洞扫描器

DarkAngel 是一款全自动白帽漏洞扫描器,从hackerone、bugcrowd资产监听到漏洞报告生成、企业微信通知。DarkAngel 下载地址:github.com/Bywalks/DarkAngel当前已支持
发布时间:2023-01-05 13:22 | 阅读:266072 | 评论:0 | 标签:扫描 漏洞 白帽 自动

利用Shellcode突变器绕过内存扫描

今天我们发布了一个新的工具来帮助红队成员避免被EDR发现。壳代码是一小段代码,通常用作漏洞利用的有效负载,通常可以通过其"签名"或唯一模式检测到。Shellcode Mutator可在不影响其功能的情况下改变利用漏洞攻击源代码,更改其特征码并使其更难被可靠地检测为恶意代码。壳代码 网站名称:https://github.com/netitude/ShellcodeMutator背景用汇编语言编写壳代码的一个主要好处是,你可以完全控制壳代码的结构。例如,源文件中函数的内容和顺序可以(显然)更改,代码可以编译为新版本的壳代码。
发布时间:2023-01-03 16:16 | 阅读:89742 | 评论:0 | 标签:扫描 shellcode shell 内存

GitHub宣布对所有公共仓库进行免费秘密扫描

日前,GitHub表示将向代码托管平台上的所有公共存储库免费提供其秘密扫描服务。秘密扫描警报会直接通知您代码中泄露的机密,预计将在2023 年1月底完成部署。秘密扫描旨在检查存储库中的访问令牌、私钥、凭据、API 密钥和其他可能被意外提交的200多种格式的秘密,并生成警报以防止它们被滥用。安全选项之前仅限于使用GitHub Enterprise Cloud并拥有GitHub Advanced Security许可证的组织所拥有的存储库。对于GitHub Advanced Security的客户,通过在代码推送期间对暴露的秘密(包括自定义模式)执行扫描,保护更进一步。
发布时间:2022-12-20 16:16 | 阅读:162261 | 评论:0 | 标签:扫描

GitHub开放密钥泄露扫描工具,5类用户将被强制启动二次验证

GitHub准备将名为secret scanning的免费扫描工具,开放给所有公开储存库用户,帮助开发人员避免经由程序码泄露登入凭证。GitHub上周宣布提供免费扫描工具,可帮助开发人员避免经由程序码泄露登入凭证。此外GitHub再新增5类用户,要求在2023年3月底前强制启用双因素验证(2FA)。GitHub之前经由登入凭证扫描合作方案,和服务供应商合作,辨识所有公开储存库内泄露的密码或凭证,以保护双方共同客户。今年他们扫描了公开储存的200多个令牌(token)格式,最后通知合作的供应商,有170多万个可能从公开储存库泄露的密码或凭证。
发布时间:2022-12-20 11:58 | 阅读:145142 | 评论:0 | 标签:扫描 泄露

GitHub宣布提供免费扫描工具,5类用户将被强制启动

GitHub准备将名为secret scanning的免费扫瞄工具,开放给所有公开储存库用户,帮助开发人员避免经由程序码泄露登入凭证。GitHub上周宣布提供免费扫描工具,可帮助开发人员避免经由程序码泄露登入凭证。此外GitHub再新增5类用户,要求在2023年3月底前强制启用双因素验证(2FA)。 GitHub之前经由登入凭证扫描合作方案,和服务供应商合作,辨识所有公开储存库内泄露的密码或凭证,以保护双方共同客户。今年他们扫描了公开储存的200多个令牌(token)格式,最后通知合作的供应商,有170多万个可能从公开储存库泄露的密码或凭证。
发布时间:2022-12-20 11:51 | 阅读:143413 | 评论:0 | 标签:扫描

GitHub 宣布对所有公共存储库进行免费秘密扫描

秘密扫描旨在检查存储库中的访问令牌、私钥、凭据、API 密钥和其他可能被意外提交的 200 多种格式的秘密,并生成警报以防止它们被滥用。 GitHub 周四表示,它正在向代码托管平台上的所有公共存储库免费提供秘密扫描服务。该公司表示: “秘密扫描警报会直接通知您代码中泄露的秘密,”并补充说预计将在 2023 年 1 月底之前完成部署。秘密扫描旨在检查存储库中的访问令牌、私钥、凭据、API 密钥和其他可能被意外提交的 200 多种格式的秘密,并生成警报以防止它们被滥用。
发布时间:2022-12-19 18:35 | 阅读:140366 | 评论:0 | 标签:扫描

DarkAngel – 全自动白帽漏洞扫描器

DarkAngel 是一款全自动白帽漏洞扫描器,从hackerone、bugcrowd资产监听到漏洞报告生成、企业微信通知。 DarkAngel 下载地址:[github.com/Bywalks/DarkAngel] 当前已

DarkAngel - 全自动白帽漏洞扫描器

编者荐语: pdd大佬写的 以下文章来源于攻防有道 ,作者bywalks 攻防有道 . 分享平日所学,供自己和朋友们学习查阅。 简介DarkAngel 是一款全自动白帽漏洞扫描器,从hackerone、bugcrowd资产监听到漏洞报告生成、企业微信通知。
发布时间:2022-12-16 00:15 | 阅读:238689 | 评论:0 | 标签:扫描 漏洞 白帽 自动

安卓API自动化安全扫描

 背景解决的问题在日常的移动端安全审计,自动化审计一直停留在应用客户端,对于安卓应用中的网络API接口长期处于空白阶段,该方案主要想解决实际工作中移动安审自动化覆盖范围不全遗漏掉API相关内容的问题,同时对公司APP端的资产进行梳理,进一步完善公司移动应用SDL流程缺失的环节。
发布时间:2022-12-14 16:16 | 阅读:153438 | 评论:0 | 标签:扫描 自动化 自动 安全 API

极速端口扫描工具Rustscan

平时我们一般都是利用nmap进行端口扫描。对于神器nmap的讲解,前面的文章写的比较多。感兴趣的可以去看看。但是nmap相对来说唯一的缺陷就是扫描比较耗时。因此,本文将为大家介绍一款高速的端口扫描工具Rustscan。工具特性在 3 秒内扫描所有1-65535 端口。完整的脚本引擎支持。自动将结果通过管道传输到Nmap自动将端口通过管道传输到 Nmap安装下载.deb文件。然后用dpkg -i命令进行安装就行了。
发布时间:2022-12-14 11:58 | 阅读:145396 | 评论:0 | 标签:扫描

5款漏洞扫描工具/实用、强力、全面(含开源)

来自:CSDN,作者:YF云飞链接:https://blog.csdn.net/flyTie/article/details/126146332[漏洞扫描]是一种安全检测行为,更是一类重要的网络安全技术,它能够有效提高网络的安全性,而且漏洞扫描属于主动的防范措施,可以很好地避免黑客攻击行为,做到防患于未然。那么好用的漏洞扫描工具有哪些?本文仅供技术学习。5 款工具,打包带走吧!第一款:Trivy概述Trivy 是一个开源漏洞扫描程序,能够检测开源软件中的 CVE。这款工具针对风险提供了及时的解释,开发人员可自行决定是否在容器或应用程序中使用该组件。
发布时间:2022-12-12 12:02 | 阅读:200299 | 评论:0 | 标签:扫描 漏洞

资产扫描神器ARL增强进行改造

拉取项目首先从GitHub克隆到服务器上。git clone https://github.com/ki9mu/ARL-plus-docker/修改配置文件因为ARL在配置文件里设置了黑名单,有时候项目为GOV或者EDU之类的时候无法进行扫描,所以在这里修改一下配置文件就可以解除限制。
发布时间:2022-12-08 11:55 | 阅读:123670 | 评论:0 | 标签:扫描

一款便捷快速的漏洞扫描工具AFORG

本文为大家介绍一款轻量快速的POC检测工具。感兴趣的小伙伴赶快试试吧!注意!本文仅供技术交流和学习,请勿恶意扫描。造成法律后果与本文无关!前言afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具,PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型,帮助网络安全从业者快速验证并及时修复漏洞。
发布时间:2022-11-27 11:59 | 阅读:330281 | 评论:0 | 标签:扫描 漏洞

Windows Defender内存扫描功能分析

大家好!这里是219攻防实验室!219攻防实验室专注于前沿攻防研究、武器平台化、红队评估、攻防演练,虽然我们是新实验室,但我们的成员有深入操作系统多年的老牌程序员、有专注攻防领域10余年的老手、亦有攻防演练中崭露头角的新锐,我们热爱技术热爱分享,就像我们的名字一样,219 “爱依旧”,对技术的爱永远依旧。
发布时间:2022-11-25 00:00 | 阅读:416092 | 评论:0 | 标签:扫描 windows 内存 分析

推荐一款比Nmap扫描快好几倍的端口扫描工具 — TXPortMap

一、软件介绍: 在渗透测试的端口扫描阶段,相信很多人遇到的问题是nmap太慢,masscan不准确。本项目为天象渗透测试平台后端使用的端口扫描和指纹识别模块,采用Golang编写,以期在速度与准确度之间寻找一个平衡。开源后希望大家可以一起完善指纹和提交优化建议。
发布时间:2022-11-14 17:10 | 阅读:216271 | 评论:0 | 标签:TXPortMap 扫描

英国政府正在扫描该国互联网空间的零日威胁

英国国家网络安全中心启动了一项新计划,将持续扫描英国托管的每个互联网连接设备的漏洞,以帮助政府应对零日威胁。国家网络安全中心是政府通信总部的一部分,作为英国面向公众的网络威胁的技术权威,它说它发起这个倡议是为了建立一个数据驱动的”英国的脆弱性和安全性”的观点。 这与挪威国家安全局的努力类似,去年,该机构寻找利用微软Exchange漏洞针对该国互联网用户的证据。斯洛文尼亚的网络安全响应单位,即SI-CERT,当时也表示,它正在通知其互联网空间中的Exchange零日漏洞的潜在受害者。
发布时间:2022-11-08 11:59 | 阅读:203101 | 评论:0 | 标签:国际动态 安全快讯 网络安全 英国 扫描

『自研工具』DirScan 一款多线程高并发目录扫描工具

以下文章来源于宸极实验室 ,作者goout 宸极实验室 . 『宸极实验室』隶属山东九州信泰信息科技股份有限公司,是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。实验室圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。 点击蓝字 关注我们日期:2022年10月28日作者:goout介绍:散装 go 语言爱好者的多线程高并发目录扫描小工具。
发布时间:2022-11-01 15:27 | 阅读:182285 | 评论:0 | 标签:扫描

一款新的开源工具正在大肆扫描公共 AWS 的“秘密”

一个新的开源工具”S3crets Scanner “扫描仪允许研究人员和红色团队搜索错误存储在公开曝光的或公司的亚马逊AWS S3存储桶中的 “秘密”。 亚马逊S3(简单存储服务)是一项云存储服务,通常被公司用来将软件、服务和数据存储在被称为桶的容器中。但是公司有时不能很好的保护他们的S3桶,从而导致存储的数据公开暴露在互联网上。 这种类型的错误配置已经造成了数据泄露,威胁者获得了员工或客户的详细资料、备份和其他类型的数据。
发布时间:2022-11-01 12:02 | 阅读:163527 | 评论:0 | 标签:安全快讯 网络安全 开源工具 扫描

一款新的开源工具正在大肆扫描公共AWS的“秘密”

一个新的开源工具"S3crets Scanner "扫描仪允许研究人员和红色团队搜索错误存储在公开曝光的或公司的亚马逊AWS S3存储桶中的 "秘密"。亚马逊S3(简单存储服务)是一项云存储服务,通常被公司用来将软件、服务和数据存储在被称为桶的容器中。但是公司有时不能很好的保护他们的S3桶,从而导致存储的数据公开暴露在互联网上。这种类型的错误配置已经造成了数据泄露,威胁者获得了员工或客户的详细资料、备份和其他类型的数据。除了应用程序数据外,S3桶中的源代码或配置文件也可能包含 "秘密",即认证密钥、访问令牌和API密钥。
发布时间:2022-10-31 16:18 | 阅读:174256 | 评论:0 | 标签:扫描

新的开源工具扫描公有 AWS S3 存储桶以查找密钥

新的开源“S3crets Scanner”扫描程序允许研究人员和红队成员搜索错误存储在公开公开或公司的Amazon AWS S3存储桶中的“机密”。 新的开源“S3crets Scanner”扫描程序允许研究人员和红队成员搜索错误存储在公开公开或公司的Amazon AWS S3存储桶中的“机密”。Amazon S3(简单存储服务)是一种云存储服务,公司通常使用这种服务将软件、服务和数据存储在称为存储桶的容器中。不幸的是,公司有时无法正确保护其 S3 存储桶,从而将存储的数据公开暴露给 Internet。
发布时间:2022-10-30 12:03 | 阅读:236174 | 评论:0 | 标签:扫描

一款src捡洞扫描器-附下载

前言一款src捡洞扫描器,因没时间挖src,毕竟挖src是个费时费力的活,自19年8月起入坑至今,依靠 BBScan 扫描出的信息和漏洞,利用业余时间从扫描报告中的资产捡洞和找洞,已经3次jd月度前十。萌发出自己写扫描器挖洞的念头,自动挖一些简单漏洞,赚点零花钱,同时提升一下开发能力,毕竟搞安全的不能不懂开发。目前 SScan 的主要逻辑还是在模仿 BBScan。
发布时间:2022-10-28 11:48 | 阅读:163142 | 评论:0 | 标签:扫描 src

Kali中那些优秀的web漏洞扫描工具

#kali工具 68 个 #基础教程 115 个 #kali基础 143 个 #kali linux 65 个 本文大表哥将为你介绍几款kali中常用的web漏洞扫描工具。希望能让你的学习更上一层楼。
发布时间:2022-10-23 11:45 | 阅读:358484 | 评论:0 | 标签:扫描 漏洞

Kali中那些优秀的子域名扫描工具

#基础教程 114 个 #kali 44 个 #kali工具 67 个 域名信息收集,是我们“肾透”中最重要的一环。好比是进入大门的钥匙,一把锁不只仅有一把钥匙。当我们掌握了其中任意一把,开锁也就很简单了。本文将为你介绍在kali中常用的子域名信息收集工具。
发布时间:2022-10-21 08:46 | 阅读:163571 | 评论:0 | 标签:扫描 域名

扫描神器AppScan入狱指南

AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入、跨站点脚本攻击、缓冲区溢出等方面安全漏洞的扫描。
发布时间:2022-10-13 08:46 | 阅读:513004 | 评论:0 | 标签:扫描 app

神兵利器|自动化网络扫描 -- reNgine

一、工具介绍是一个 Web 应用程序侦察套件,专注于通过引擎、侦察数据关联、持续监控、数据库支持的侦察数据和简单而直观的用户界面的高度可配置的流线型侦察过程。
发布时间:2022-10-12 11:46 | 阅读:165210 | 评论:0 | 标签:扫描 自动化 自动 网络

漏洞扫描神器xray从入门到入狱

今天给大家介绍一款牛叉的漏洞扫描工具xray的安装及简单使用。喜欢就点赞收藏吧!特性检测速度快。发包速度快; 漏洞检测算法效率高。支持范围广。大至 OWASP Top 10通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以客制化功能。安全无威胁。xray定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和poc均为无害化检查。下载安装xray跨平台支持,根据我们所需,按系统下载即可。
发布时间:2022-10-10 14:49 | 阅读:705356 | 评论:0 | 标签:扫描 漏洞

基于机器学习的静态代码扫描结果误报调优实现

点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自
发布时间:2022-10-05 23:59 | 阅读:233510 | 评论:0 | 标签:扫描 学习 静态代码

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁