漏扫发现-Web服务篇Top10常规Poc专项综合资产NucleiAfrogAwvsYakitGoby工具中转联动

📅 2026/7/1 2:20:59 👁️ 次浏览

知识点1、Web服务-常规漏洞AVWS2、Web服务-POC管理NucleiAfrog等3、Web服务-综合资产GobyYakit等4、Web服务-工具中转联动常规漏洞漏扫代表产品AWVS、Appscan、Xray等AWVS 是全球知名的自动化 Web 漏洞扫描工具由 Acunetix 公司开发专注于检测网站、Web 应用和 API 的安全漏洞。它被广泛用于渗透测试、安全审计、合规检查如 PCI DSS以帮助企业发现并修复安全风险。Poc漏洞漏扫代表产品Afrog、Nuclei等Afrog是一款性能卓越、快速稳定、PoC可定制的漏洞扫描挖洞工具PoC涉及CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型帮助网络安全从业者快速验证并及时修复漏洞。https://github.com/zan8in/afrogNuclei 是一款快速、可定制化的漏洞扫描工具主要用于安全研究人员和渗透测试人员自动化检测目标系统的安全漏洞。它基于 YAML 格式的模板Templates进行扫描支持多种协议HTTP、DNS、TCP、TLS 等能够高效地检测 Web 应用、API、网络设备、云服务等目标的安全问题。https://github.com/projectdiscovery/nuclei综合资产漏扫代表产品Goby、Yakit、ScopeSentry、TscanPlus等Goby是一款新的网络安全测试工具由赵武ZwellPangolin、JSky、FOFA作者打造它能够针对一个目标企业梳理最全的攻击面信息同时能进行高效、实战化漏洞扫描并快速的从一个验证入口点切换到横向。能通过智能自动化方式帮助安全入门者熟悉靶场攻防帮助攻防服务者、渗透人员更快的拿下目标。https://gobysec.net/Yakit是一款集成化单兵安全能力平台,通过函数提供各类底层安全能力包括端口扫描、指纹识别、poc框架、shell管理、MITM劫持、强大的插件系统等。旨在打造一个覆盖渗透测试全流程的网络安全工具库。https://github.com/yaklang/yakitScope Sentry是一款具有分布式资产测绘、子域名枚举、信息泄露检测、漏洞扫描、目录扫描、子域名接管、爬虫、页面监控功能的工具通过构建多个节点自由选择节点运行扫描任务。https://github.com/Autumn-27/ScopeSentryTscanPlus 是一款综合性网络安全检测和运维工具旨在快速资产发现、识别、检测构建基础资产信息库协助甲方安全团队或者安全运维人员有效侦察和检索资产发现存在的薄弱点和攻击面。https://github.com/TideSec/TscanPlus一、演示案例-漏扫发现-Web服务攻防-常规漏洞AVWS官方漏洞靶场http://testphp.vulnweb.com/二、演示案例-漏扫发现-Web服务攻防-POC管理NucleiAfrogvulhub.org(Shiro反序列化)三、演示案例-漏扫发现-Web服务攻防-综合资产GobyYakit四、演示案例-漏扫发现-Web服务攻防-工具中转联动1、APP-BurpXray联动-抓包给xray扫.\xray_windows_amd64.exe webscan--listen127.0.0.1:7777 --html-output xx.html 之后在模拟器上打开APPbp就会收到相关数据包并转发给xray进行安全检测2、Web服务-BurpXray联动-抓包给xray扫主-Burp设置转发代理-访问副-Xray设置被动扫描-扫描.\xray_windows_amd64.exe webscan--listen127.0.0.1:7777 --html-output xx.html3、Web服务-AwvsXray联动-抓包给xray扫主-Awvs设置代理扫描副-Xray设置被动扫描.\xray_windows_amd64.exe webscan--listen127.0.0.1:7788 --html-output xx.html4、Web服务-AwvsBurpXray中转联动-都扫看流量主-Awvs设置代理扫描-awvs共享资源扫一次中-Burp设置转发代理-burp共享资源扫一次副-Xray设置被动扫描-Xray最后的一次扫描.\xray_windows_amd64.exe webscan--listen127.0.0.1:7777 --html-output xx.html

相关新闻