极安全-JiSec

在长达3.5年之后，Fyodor终于发布了著名开源网络检索工具的最新版本Nmap7。 Nmap 7功能变化 在长达3.5年之后，Fyodor终于发布了著名开源网络检索工具的最新版本Nmap7。Nmap是最受欢迎的开源网络映射器之一，据称这次发布的版本中主要的变化包括以下几点： —自从Nmap 6以来共有3200份代码提交 —扩大了其脚本引擎的功能，包括171个新的NSE脚本 —在主机发现、端口扫描和系统检测方面，提供了成熟的IPv6支持 此外，Nmap7这款自动化的扫描器能够轻易检测到Heartbleed、POODLE、FREAK等严重漏洞。Nmap 7中对ssl-enum-ciphers（SSL枚举......       nmap, 安全神器阅读全文

俄罗斯黑客升级了很多方便功能，原版界面比较暗黑修改成正常色系，具体功能自己试用下 修改后 http://pan.baidu.com/s/1mgjeAG4 密码: 5ibz 原版界面 阅读全文

Sublist3r是一个python版工具，其设计原理是基于通过使用搜索引擎，从而对站点子域名进行列举。 在应用上，它可以帮助渗透测试人员以及漏洞检测人员针对他们的目标域名收集以及获取其子域名。Sublist3r目前支持以下搜索引擎：Google, Yahoo, Bing, 百度以及Ask，而未来将支持更多的搜索引擎。目前，Sublist3r同样也通过Netcraft以及DNSdumpster获取子域名。 而子域名爆破工具subbrute也被融入到Sublist3r中，主要是通过利用bruteforce强大的字典来获取更多子域名。 安装 git clone https://github.com/aboul3la/Sublist3r.git 建议...... 阅读全文

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负! Burp已经成了绿帽子门必不可少的工具，相信大家都装有Java环境，本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。 一直都有想写一款真正实用的跨平台类似的菜刀，然后可惜代码是个渣渣一直可望而不可即，后续随着公司业务增多，大多数目标都有WAF，于是就想写一款完全脱离工具，只依靠配置文件的菜刀。顺便当个码农~~~ 前前后后大约花了一个月，除了打飞机的时间基本就在写这货了，这里要感谢@MelodyZX  牛，在我完成大体框...... 阅读全文

关于: Sn1per 是为渗透测试师开发的扫描工具 特征: 自动扫描基本信息 (ie. whois, ping, DNS, etc.) 自动搜索Google结果 自动扫描开放端口 自动爆破子域名跟DNS信息 自动调用NMap脚本针对端口进行扫描 自动扫描所有的web漏洞 自动爆破所有开放服务 安装: ./install.sh- 在Kali中自动安装所有依赖包 使用: ./sn1per domain/IP/hostname 报告案例: https://gist.githubusercontent.com/1N3/070d14c364e5f23bfe5e/raw/8e152e740ba50cd49bb3366ec91cf7d08ca02715/Sn1per%2520Sample%2520Report 下载: https://github.com/1N3/Sn1per.gi...... 阅读全文

BLUTO是一款信息探测和爆破工具，它的功能有DNS探测、暴力猜解、DNS域传送，和电子邮箱枚举。 DNS信息和域传送漏洞探测 BLUTO会利用目标域名来探测MX和NS记录的，同时通过NetCraft获取子域名。先说目标域名的NS记录，它可以用来探测目标是否存在域传送漏洞。 域名爆破和查询整合 如果没有查询到结果的话，BLUTO会继续用并行的子进程去取Alex Top 100万中的前2万个子域名前缀，来爆破目标的子域名。此外，NetCraft的查询结果是单独进行的。爆破的结果和NetCraft的查询结果会进行自比较，整合并删除重复内容项，高亮显示可能有用的结...... 阅读全文

在Yii框架中，为了防止csrf攻击，封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置，就可以实现CSRF的验证,但是默认的开启是整站开启,当有时候需要某些地方不要经过拦截时我们就可以用如下方式,此说明只针对Yii1.0有效。 要实现此方法需要要重写CHttpRequest类。 1. 在框架的framework/global/extensions/http/ 目录下新建一个WFilterHttpRequest类 继承创建一个类,继承于CHttpRequest,里面加入代码如下 /** * 局部关闭CSRF */ protected function normalizeRequest() { // attach event han......       Php, Yii CSRF局部关闭拦截, yii1.1阅读全文

如果你真的喜欢安全，了解下面这些工具是你通往大神之路的必备良品，快来看看都有哪些工具并学习一下吧！ 这份黑客工具列表中的一部分是基于Kali Linux的，其他的工具是通过我们的社区反馈的。下面介绍了这些工具的主要功能以及教程、书籍、视频等。 端口扫描器：Nmap Nmap是"Network Mapper"的缩写，众所周知，它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计，全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划，以及监视主机或服务的正常运行时间。Nmap是一种使...... 阅读全文

1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injection) 6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7、Session 会话劫持(Session Hijacking) 8、Session 固定攻击(Session Fixation) 9、HTTP响应拆分攻击(HTTP Response Splitting) 10、文件上传漏洞(File Upload Attack) 11、目录穿越漏洞(Directory Traversal) 12、远程文件包含攻击(Remote Inclusion) 13、动态函数注入攻击(Dynamic V...... 阅读全文

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。本文主要介绍它的以下特点： 1.Target(目标)——显示目标目录结构的的一个功能 2.Proxy(代理)——拦截HTTP/S的代理服务器，作为一个在浏览器和目标应用程序之间的中间人，允许你拦截，查看，修改在两个方向上的原始数据流。 3.Spider(蜘蛛)——应用智能感应的网络爬虫，它能完整的枚举应用程序的内容...... 阅读全文

HTML //页面Js代码 // {{item.title}} {{/each}} // ]]> JS代码 $('#previewPic').on('click', function () { var YII_CSRF_TOKEN =$('#YII_CSRF_TOKEN').val(); $.post('index.php?r=shop/previewBanners', {YII_CSRF_TOKEN : YII_CSRF_TOKEN }, function(ret) { if(ret.code == 200){ alert('发布成功!'); return false; } initData = ret.data; var html = template("tmp",{list:ret}); document.getElementById("swiper").innerHTML=html; swiper = new S......       Javascritp, Php, swiper, 幻灯片, 首页轮播阅读全文

更新说明： 1.修复程序崩溃bug 2.增加170万+字典 使用说明： 1.如果要使用自定义字典，请把字典文件命名为dic，放到跟程序同目录下，程序会自动加载字典。 2.如果没有自定义字典，程序会自动使用内置字典，内置字典总共两万多条数据，内容包括了常用子域名，以及3000+常用单词和1-3位所有字母。 3.如果要爆破二级以下域名，可以直接填入要爆破的子域名，程序会自动拼接下一级子域。比如填入hi.baidu.com，程序会爆破 .hi.baidu.com下面的域。 4.如果界面列表显示有空白，请右键选择“导出域名和IP”来导出完整列表。 程序作者：Seay ...... 阅读全文