安全工具

00 前言

安全工具类

NMAP

01 NMAP是什么?

Nmap (“Network Mapper(网络映射器)”) 是一款开源的网络探测和安全审核的工具。用来对网络上的主机进行嗅探,发现。它的设计目标是快速地扫描大型网络,当然用它扫描单个主机也没有问题。

02 NMAP干什么?

Nmap是被专业人员广泛使用的一款功能全面的端口扫描工具。由于Nmap品质卓越,使用灵活,它已经是渗透测试人员必备的工具。除了端口扫描外,Nmap还具备如下功能:主机探测,服务/版本检测(-sV),操作系统检测(-O),网络路由跟踪(-ttl),Nmap脚本引擎(-sC)。

03 有什么功能特点?

灵活。支持数十种不同的扫描方式,支持多种目标对象的扫描。比如单Ping,TCP/UDP/端口扫描
强大。Nmap可以用于扫描互联网上大规模的计算机。

04 作用对象(用来扫什么)

一般用来主机扫描,信息收集,端口扫描,主机存活等。带上–script参数可用插件进行强大的扫描。

Brup Suite

01 Brup是什么?

Brup Suite 是用于攻击web应用程序的集成平台。它可以对包进行强大的操作与修改。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。

02 Brup能干什么?

Burp支持手动的Web应用程序测试的活动。它可以让你有效地结合手动和自动化技术,使您可以完全控制所有的BurpSuite执行的行动,并提供有关您所测试的应用程序的详细信息和分析。

03 Brup有什么功能特点?

Brup一共有11个功能选项,分别是:
target - 对目标域设置,站点地图爬取目标网站
proxy – Burp Suite设置代理,抓取数据包。
Spider – Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等。
Scanner – 是用来扫描Web应用程序漏洞的,可以发现常见的web安全漏洞,但会存在误报的可能。
Intruder – 可进行Web应用程序模糊测试,进行暴力猜解等。
Repeater – 对数据包进行重放,可分析服务器返回情况,判断修改参数的影响。
Sequencer – 用来检查Web应用程序提供的会话令牌的随机性.并执行各种测试。
Decoder – 对数据进行加解密操作,包含url、html、base64等等。
Comparer – 此功能用来执行任意的两个请求,响应或任何其它形式的数据之间的比较。
extender - 加载Burp Suite的扩展,使用你自己的或第三方代码来扩展Burp Suite的功能。
options - 设置burp,字体,编码等等
alerts - 是用来存放报错信息的,用来解决错误

使用参考链接

04 作用对象(用来干什么)

首先使用burp抓取数据包的proxy功能,设置代理
常用Repeater进行重复手工发包测试,Intruder暴力破解

使用参考链接

Nessus

01 Nessus是什么?

Nessus号称是世界上最流行的漏洞扫描程序。该工具提供完整的电脑主机漏洞扫描服务,并随时更新其漏洞数据库。Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。

02 Nessus能干什么?

Nessus通常包括成千上万的最新的漏洞,各种各样的扫描选项,及易于使用的图形界面和有效的报告。

03 Nessus有什么功能特点?

可自行定义插件(Plug-in)。其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高。完整支持SSL (Secure Socket Layer)。

04 作用对象

对服务器主机(IP)进行漏洞扫描。对整个网络(不只是内网,同一网段)进行漏扫

WVS

WVS是什么

WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具。Acunetix公司使用的领先的Web漏洞扫描器,被广泛赞誉为包括最先进的SQL注入和XSS黑盒扫描技术。它自动爬行您的网站,并执行黑盒和灰盒黑客技术,发现危险的漏洞,可能危及您的网站和数据的漏洞。

WVS能干什么?

awvs针对SQL注入、XSS、XXE、SSRF、主机头注入以及4500多个其他web漏洞的精确测试。通过内置的漏洞管理特性,简化了Web应用程序安全过程,这些特性帮助您确定漏洞的优先级并管理漏洞解析.

WVS 特性

黑盒测试
深入爬行和分析-自动扫描所有网站。
低误报率,漏洞检测率最高。
集成漏洞管理-优先级和控制威胁

WVS 作用对象

对web进行漏扫,并输出报告

Python

01 Python是什么?

Python是一种广泛使用的高级编程语言,属于通用型编程语言。它面向对象,解释型的语言。

Pythn能干什么?

  1. 数据分析。Numpy & Scipy、Pandas、matplotlib 是 Python 最基本数据分析的三驾马车,而 Jupyter notebook 则是分析的最基本交互式环境。后续则可以学习更为强大的工具,如分布式计算 pyspark,机器学习,深度学习,神经网络等等,Python 都能找到成熟的包以供使用。
  2. 网络数据采集。 数据分析离不开数据采集,使用 Python 的标准库 urllib 去网络采集一些简单数据,图快也会使用 requests,beautifulsoup 是非常不错的 html 解析工具。后续更高级的可以学习 Python 爬虫框架 pyspider,scrapy 等,以及分布式爬虫。
  3. Web 开发。 主要使用 django 作为开发框架。

Python特性是什么?

  1. 其本身拥有一个巨大而广泛的标准库。还可以导入著名第三方库和自建库
  2. Python的设计哲学强调代码的可读性和简洁的语法(尤其是使用空格缩进划分代码块,而非使用大括号或者关键词)
  3. Python拥有动态类型系统和垃圾回收功能,能够自动管理内存使用,并且支持多种编程范式,包括面向对象、命令式、函数式和过程式编程。
  4. Python是解释型语言,因此没有编译文件

Python 作用对象

开发
写出小工具进行批量处理,扫描,漏洞测试
写爬虫


-------------本文结束  感谢您的阅读-------------