在实际渗透测试或合规审计中，安全扫描工具往往只有默认配置难以覆盖业务特有的路径、鉴权方式或自定义插件。把配置文件当作“扫描指令的脚本”，把业务规则写进去，工具才能像遵循剧本的演员一样精准演出。 理解配置文件的核心要素 大多数扫描器（如 Xray、Rad、Nessus）采用结构化的文本格式——YAML、JSON 或 INI。核心要素通常包括目标定义、插件/插件组、网络层参数以及输出控制。缺一不可的原因在于：目标决定扫描...

如果说Nmap是网络侦察的瑞士军刀，那NSE（Nmap Scripting Engine）无疑是这把刀上最锋利、最灵巧的组件。很多人对NSE的使用停留在执行现成脚本，敲个--script http-title就完事，但脚本背后那套精巧的协作与执行机制，才是真正值得玩味的地方。理解它，你才能从脚本的“使用者”转变为“驾驭者”，甚至创造者。 引擎核心：规则、阶段与依赖 NSE本质上是一个嵌入在Nmap中的Lua虚拟机。它...

在实际渗透项目里，常常会因为手动排查而把时间拖到凌晨，直到把 Xray 拉进来，才发现它把原本要耗费三天的工作压缩到一杯咖啡的时长。核心不在于速度，而是它把 OWASP Top 10 的每一类风险都映射成独立的检测模块，并在扫描引擎内部实现了并行调度。 Xray的检测机制 Xray 基于 Go 语言的协程模型，能够在单机上同时发起上千个 HTTP 请求。每个请求携带针对特定漏洞的 payload，返回后立即交由轻量级...

渗透测试阶段信息收集完成后，需根据所收集的信息，扫描目标站点可能存在的漏洞，包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等，然后通过这些已知的漏洞，寻找目标站点存在攻击的入口。那么今天我们就介绍几款常用的WEB应用漏洞扫描工具。 一、AWVS Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，...

__| // // // 当前含有的支持库: BaseLibrary.jar JSLibrary.jar ORCLibrary.jar PortLibrary.jar SocketLibrary.jar 当前本地含有的脚本: ATTACKUTILS encryption.wker js.js MYSQLAttack.wker SQLAttack.wker BASE baseStruct.wker SQL注入 MySQ...

使用hanzolnjection的免杀一、介绍：Hanzoinjection介绍对于免杀，我们也可以使用cs生成一个二进制格式的payload，也就是raw格式，运行时我们需要借助hanzolnjection , hanzolnjection类似于加载器，它会以字节的方式把payload注入到内存中来执行。 地址:https://github.com/P0cL4bs/hanzoInjection命令解析：-e 跟上生...

只显示python错误以及严重的信息1->同时显示基本信息和警告信息（默认）2->同时显示debug信息3->同时显示注入的payload（建议使用此级别，可显示注入参数）4->同时显示HTTP请求5->同时显示HTTP响应头6->同时显示HTTP相应页面target 目标1：-d DIRECT 直接连接数据库的连接字符已知目标数据库的时候使用-d，直接连接目标数据库，注意是小d，大D是指定要风闻的目标的某个库2：-...

Watchbird是一个专门为AWD而生的PHP防火墙,采用纯PHP+JS+CSS编写而成,单文件设计模式,无任何外部依赖,其特点有将原始请求包拼凑出来而实现的内网转发,基于putenv和ld_preload的命令执行保护,一个漂亮的前端以及流量重放功能. 工具安装 广大研究人员可以使用下列命令直接将项目源码克隆至本地 git clone https://github.com/leohearts/awd-watchb...

​声明：本文全程采用测试app，根据相关法律法规严禁非法入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动，窃取或者以其他非法方式获取个人信息。 一、命令及模块支持1、先来看看官方给出的drozer支持命令以及说明吧 命令 描述 run 执行drozer模块 list 显示当前会话中可以执行的所有drozer模块的列表。这将隐藏您没有适当权限来运行的模块 shell 在代理进程上下文中启动设备上的交...

Pytm是一款Python风格的威胁建模框架，它可以帮助我们以Python语言风格的形式并使用pytm框架中的元素和属性来定义你的系统。根据我们的定义参数，pytm可以针对你的系统生成数据流图（DFD）、序列图以及威胁模型。 工具要求 Linux/MacOS Python 3.x Graphviz package Java (OpenJDK 10 or 11) plantuml.jar 工具下载 广大研究人员可以使用...