Bài đăng

Hiển thị các bài đăng có nhãn ứng dụng website

Cách vượt qua tường lửa ứng dụng web (WAF) tìm lỗ hổng SQL Injection

Hình ảnh
3sthuthuat – Cách vượt qua tường lửa ứng dụng web (WAF) tìm lỗ hổng SQL Injection. Firewall cơ bản là tấm lá chắn giữa máy tính của bạn (hoặc một mạng) và Internet. Firewall có thể được so sánh như một nhân viên bảo vệ của một tòa nhà nào đó. Và nhân viên này có thể cho phép hoặc từ chối bất kỳ ai đi vào tòa nhà này. Tương tự, Firewall có thể là chương trình phần mềm, hoặc thiết bị phần cứng. Nó lọc gói tin đi từ Internet tới máy tính của bạn hoặc mạng máy tính. Firewall có tác dụng gì? Firewall có thể từ chối hoặc cho phép lưu lượng mạng giữa các thiết bị. Dựa trên các nguyên tắc mà nó đã được cấu hình. Hoặc cài đặt bởi một người quản trị tường lửa. Rất nhiều firewall cá nhân hoạt động trên một tập hợp các thiết lập đã được cài đặt sẵn. Personal firewall rất dễ dàng để cài đặt và sử dụng. Cấu hình firewall là cực kỳ quan trọng để tránh khỏi các hiểm họa xảy ra trên mạng. Firewall kiểm soát lưu lượng mạng đến và đi trong một mạng Packet Filtering: Trong phương pháp này, gói tin sẽ đư

Công cụ quét mạng Zmap cho kiểm thử ứng dụng website

3sthuthuat – Công cụ quét mạng Zmap cho kiểm thử ứng dụng website . ZMap là một công cụ quét mạng sử dụng mã nguồn mở được thiết kế cho các cuộc điều tra mạng Internet. Trên một máy tính để bàn điển hình có kết nối Ethernet gigabit, ZMap có khả năng quét toàn bộ không gian địa chỉ IPv4 công cộng dưới 45 phút. Với kết nối 10GigE và PF_RING, ZMap có thể quét không gian địa chỉ IPv4 dưới 5 phút. Nó hoạt động trên GNU / Linux, Mac OS, và BSD. Hiện tại nó đã thực hiện đầy đủ các mô đun thăm dò cho quét TCP SYN, ICMP, truy vấn DNS, UPnP, BACNET, và có thể gửi một số lượng lớn các đầu dò UDP. Vì ZMap được thiết kế để thực hiện quét toàn diện không gian địa chỉ IPv4, khi bạn đang chạy ZMap, hãy nhớ rằng bạn có khả năng quét toàn bộ vùng địa chỉ IPv4 toàn bộ với hơn 1.4 triệu gói dữ liệu mỗi giây. Tính năng Zmap Phối hợp chặt chẽ với các quản trị viên mạng nội bộ để giảm rủi ro và xử lý yêu cầuXác minh rằng quét sẽ không áp đảo mạng cục bộ hoặc nhà cung cấp thượng nguồnGiải thích rõ ràng mục đí

Công cụ kiểm tra lỗi của những ứng dụng web với Wapiti

Công cụ kiểm tra lỗi của những ứng dụng web với Wapiti. Wapiti là một ứng dụng mã nguồn mở mà bạn có thể sử dụng để kiểm tra tính bảo mật của các ứng dụng web của bạn. Nó thực hiện quét “blackbox”, nghĩa là nó không nghiên cứu mã nguồn của ứng dụng nhưng sẽ quét các trang web của ứng dụng web được triển khai, tìm kiếm các tập lệnh và biểu mẫu nơi nó có thể chèn dữ liệu. Wapiti hoạt động như một fuzzer, chèn các payloads để xem những trang web dễ bị tổn thương. Wapiti có thể phát hiện các lỗ hổng sau: File disclosure (Local and remote include/require, fopen, readfile...)Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)XSS (Cross Site Scripting) injection (reflected and permanent)Command Execution detection (eval(), system(), passtru()...)CRLF Injection (HTTP Response Splitting, session fixation...)XXE (XmleXternal Entity) injectionUse of know potentially dangerous files (thanks to the Nikto database)Weak .htaccess configurations that can be bypassedPresence of backup

Phần mềm kiểm thử ứng dụng website Spaghetti

3sthuthuat- Phần mềm kiểm thử ứng dụng website Spaghetti. Spaghetti là một công cụ quét an ninh ứng dụng web. Nó được thiết kế để tìm các tập tin mặc định và không an toàn, misconfigurations. Spaghetti được xây dựng trên python2.7 và có thể chạy trên bất kỳ nền tảng nào có môi trường Python. Cài đặt $ Git clone https://github.com/m4ll0k/Spaghetti.git$ Cd Spaghetti$ Pip install -r doc / requirements.txt$ Python spaghetti.py -h Tính năng ServerFrameworks (CakePHP,CherryPy,Django,...)Firewall (Cloudflare,AWS,Barracuda,...)CMS (Drupal,Joomla,Wordpress)OS (Linux,Unix,Windows,...)Language (PHP,Ruby,Python,ASP,...) Discovery:Admin PanelApache Enumeration UsersApache XSSApache ModStatusBackdoorsBackupCaptchaCommon DirectoriesCommon FilesCookie SecurityMultiple IndexInformation Disclosure (Emails and Private IP)