現在比較好用的漏洞掃描和注入攻擊的工具?
12-29
現在一直在用wapiti和sqlmp,不知道還有那些比較好用的,尤其是國內編寫的,因為大部分的好像都是國外的,Nessus如何呢?
———————————————————————————————————————————
鑒於@錢文斌 的指正,我補充一下,題主只是想更全面的了解和使用一些更好用的工具,題主本身是個使用python的菜鳥,不存在歧視國外或國內的工具,也沒有要進行不法行為的念頭,補充一點題主日常工作是開發,只是利用業餘時間繼續學習信息安全,因為題主大學專業是信息安全,不想丟了。 還請多多指正。
謝邀。
不過,類似的工具我幾乎都沒用過,從來都是「人肉查找」漏洞,實在不好回答,要說 PHP 注入工具的話,狼族的 UK 同學曾寫過一個工具 WSI,感興趣的可自行搜索下。
推薦@餘弦 的http://zhuanlan.zhihu.com/evilcos/19578244
《刑法》第285條第三款
提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。
第二這麼赤裸裸地問漏洞掃描和注入攻擊工具
第三最讓人不能容忍的是你(省略語氣助詞)連用工具都不樂意用國外的!
還是不要恬加「黑客(hacker)」標籤了,勿要害人害己,送你刑法第285條,各位大牛傳道授業也請擇人,謝謝。
掃描工具:burpsuite、JSky、safe3wvs、wvs、nmap.......
注入工具:sqlmap(首選)、Havij、pangolin、Safe3SI...
metasploit滲透測試框架我是推薦的.
用kali linux滲透測試專用系統吧.他集成了幾乎所有的優秀的滲透測試的工具/框架.
包括著名的metasploit滲透測試框架,nmap等等
Web應用綜合漏洞掃描工具,推薦WebCruiser ,並且自帶SQL注入工具。
比如:
機鋒網後台SQL注入等漏洞打包
社會科學文獻出版社某處存在Sql注入,sa許可權
手工注入,特別是php,手工注入比用工具準確快速,工具的話還會被禁。
(引自《白帽子講web安全》)
推薦個國內的,傻蛋搜索,比較牛逼,好神秘的感覺https://www.oshadan.com/
xscan,流光,啊D,sniffer,iris,nbsi,灰鴿子
Nessus,可向 Chinasupport@edvancesecurity.com 了解詳情。
推薦閱讀: