现在,或许我们心中的漏洞利用工具法宝,十年后会是什么样子?可能就像我们之前看到的注入一样,看起来像是一个工具。这几天突然想到这样一个问题:如果让你推荐一款与某类漏洞强相关的漏洞利用工具,你会怎么推荐?接下来分享我的答案,推荐几款我认为是漏洞利用的神器,欢迎大家一起补充。1、SQL注入漏洞推荐项目:SQLmap项目地址:http://sqlmap.org/推荐理由:殿堂级利器,注入神器,用过谁知道效果。2.XSS推荐项目:beef项目地址:https://beefproject.com/推荐理由:一款针对浏览器攻击的框架,一款专注于网页浏览器的渗透测试工具。3、文件包含漏洞推荐项目:LFISuite,项目地址:https://github.com/D35m0nd142/LFISuite推荐理由:一款全自动工具,可以使用多种不同的攻击方式扫描利用本地文件包含漏洞。4、CSRF推荐项目:CSRFTester项目地址:https://wiki.owasp.org/index.php/File:CSRFTester-1.0.zip推荐理由:CSRF漏洞测试工具,集抓包和PoC构建于一体。5、XXE(ExternalEntityInjectionVulnerability)推荐项目:XXEinjector项目地址:https://github.com/enjoiz/XXEinjector推荐理由:使用直接和不同带外方式自动利用XXE漏洞的工具。6、Xpath注入推荐项目:XCat项目地址:https://github.com/orf/xcat推荐理由:一款可以利用和检测XPath盲注漏洞的命令行工具。7、Struts漏洞利用推荐项目:K8Struts2Exploit推荐理由:Struts2综合漏洞利用工具,包括收集信息、执行命令、上传文件、连接小马、管理文件等功能。8、Jboss漏洞推荐项目:JexBoss项目地址:https://github.com/joaomatosf/jexboss推荐理由:扫描发现Jboss可能存在多个安全漏洞。9.路由器漏洞推荐项目:RouterSploit项目地址:https://github.com/threat9/routersploit推荐理由:一款针对嵌入式设备的漏洞利用工具,包括27个品牌的上百个漏洞利用模块,有上百种设备如作为涉及的路由器和相机。发明轮子的人很多,但堪称神器的工具却寥寥无几。我们应该永远感谢每一位安全开发人员的无私奉献。
