[工具推荐]0day自动化挖掘工具推荐

最新推荐文章于 2025-07-29 10:00:00 发布

原创

最新推荐文章于 2025-07-29 10:00:00 发布 · 543 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#自动化 #网络安全 #web安全

[工具推荐]0day自动化挖掘工具推荐

介绍

该IDEA插件基于momo-code-sec-inspector-java二开，侧重于在编码过程中发现项目潜在的安全风险（一键搜索所有的sink点，替代传统control+F大法），部分漏洞并提供一键修复能力，提升安全攻防人员代码审计效率、开发人员代码安全质量。

安装

支持版本：Intellij IDEA ( Community / Ultimate ) >= 2021.3

IDEA "Settings" --> "Plugins"，获取SecInspector.jar后，选中从本地磁盘安装该插件

使用

IDEA 提供Inspect Code功能支持对整个项目/指定范围文件进行自定义规则的扫描。

我这里对亿赛通源码进行扫描，可以轻松发现一处已公开的sql注入

获取

关注公众号回复：20240625

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

LiangYueSec

关注关注

9
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

某学工系统0day挖掘

goddemon

01-02

935

其实个人不是很喜欢写src挖掘实战的文章的话不多说进入正题对某高校进行很常规的信息收集后发觉了个学工系统登录框是这样的没有验证码很诱惑人利用之前进行的信息收集直接开始爆破运气不错进去了 ①0day1 然后用burp简单的抓了下包查看了下cookie 根据经验猜测这里可能存在越权直接改学号比如改为 19970018 放包成功的实现越权 ②sql注入一个接口一个接口的查和审最后在查询接口处找到了sql注入在一个点找到了sql注入 sqlmap.py -r C:\Pyt

某赛通电子文档安全管理系统任意文件上传漏洞复现

0xSec

08-16

6417

某赛通电子文档安全管理系统UploadFileFromClientServiceForClient、/CDGServer3/DecryptApplicationService2、/CDGServer3/fileType/importFileType.do等接口处存在任意文件上传漏洞，未经授权的攻击者可通过此漏洞上传恶意后门文件，从而获取服务器权限。

参与评论您还未登录，请先登录后发表或查看评论

0day漏洞挖掘

12-22

0day漏洞挖掘,不用讲，你懂的。。。。。

[0day]基础工具学习

weixin_34219944的博客

04-09

184

事实上非常多工具多少都使用的比較熟悉了。可是仍有一些点还是比較有趣以及我不知道的。毕竟第一章，查缺补漏的。（话说这个成语在高三冲刺的时候，老师用得最多，当时还非常悲哀的一直补东墙。漏西墙。始终认为自己学习的混沌，不成体系= =）直接回来看内容好了。总结下来，几个术语： Penetration test（攻击測试），团队被叫做：Tiger team 或者 Ethic h...

0day工具集

tainqiuer123的博客

04-14

438

1、ollydbg集成反汇编分析、十六进制编辑、动态调试等多种功能，缺点：无法调试内核（与SoftCE和WinDbg相比） ollydbg快捷键快捷键功能说明 F8 单步执行遇到函数调用指令不跟入（step over） F7 单步执行遇到函数调用指令跟入（step in） F2 设置断点在一条指令上按F2键将设置断点，再按一次将取消断点 F4 执行到当前光标所选中的指令在遇到循环时可以方便地使用F4键执行到循环结束

技战法-监测挖掘抵御0day漏洞

最新发布

2301_77391997的博客

07-29

763

知识科普之自动化漏洞挖掘技术

Moyun_vackbot的博客

05-30

2820

自动化漏洞挖掘技术，也被称之为fuzzing技术，是一种基于黑盒（或灰盒）的测试技术，它通过自动化生成并执行大量的随机测试用例来发现产品或协议中存在的未知漏洞。Fuzzing技术已成为软件测试、漏洞挖掘领域最有效的手段之一，特别适合用于发现0day漏洞，是众多黑客或黑帽子发现软件漏洞的首选技术。

第86天-SRC 挖掘-教育行业平台&规则&批量自动化

MCTSOG的博客

05-25

1534

思维导图参考： https://src.sjtu.edu.cn/introduction/ 1.法律法规：第八条按照对信息系统机密性、可用性、完整性等三方面要素的影响评估，漏洞风险发现与技术验证应遵循无害化原则：（一）信息系统机密性无害化验证指导场景：可实现非授权访问或用户权限越权，在完成非授权逻辑、越权逻辑验证时，不应再获取和留存用户信息和信息系统文件信息；可执行数据库查询条件，在获得数据库实例、库表名称等信息证明时，不应再查询涉及个人信息、业务信息的详细数据；可获得系统主机

0day工具集(资源)介绍-0day漏洞利用原理(2)

05-29

1921

0day工作必须的工具集(资源)介绍，一篇就够了

0day软件整理【使用工具】

眼界决定世界奋斗成就梦想

02-02

1436

2007-2-1PaceStar.LanFlow.Net.Diagrammer.v5.08-Lz0易用的强大功能的网络拓扑图绘制工具,使用LanFlow你能用几百种预先设计好的图标、图形等文件来构架,设计出你的计算机网络通信结构，并在图表中支持EMF，WMF，BMP，JPG等格式文件.http://www.pacestar.com/lanflow/index.html图片 : htt

批量0day漏洞查找工具

03-10

通过爬关键字，然后更具域名查找漏洞页面如果纯在就显示在下面的结果框

2023-0Day（漏洞检测Tools）V1.4 HW-漏洞挖掘-src

08-23

工具介绍为更好帮助师傅们日常安全巡检期间及攻防演练期间进行安全自查检测，编写了2023公开漏洞的检测工具 8月22日漏洞检测Tools V1.0更新漏洞利用如下： 1、用友移动管理系统文件上传漏洞（YonyouMa UPload） 2、用友NC-grouptemplet接口文件上传 3、安恒明御堡垒机任意用户添加 4、致远互联FE协作办公平台文件上传漏洞 2023/8/10,V1.1更新漏洞利用如下： 5、网神SecGate 3600防火墙文件上传漏洞 6、泛微EOffice未授权访问漏洞 7、泛微EOfficeSQL注入漏洞 8、绿盟SAS堡垒机任意用户登录漏洞 2023/8/11,V1.2更新漏洞利用如下： 9、大华智慧园区综合管理平台emap文件上传 10、大华智慧园区综合管理平台SQL注入 11、用友时空KSOA_SQL注入

强大的0day神器

05-01

包含很多oday的利用exp。直接秒杀漏洞网站。

《挖0day》.(非安全)

04-19

《挖0day》.(非安全)《挖0day》.(非安全)《挖0day》.(非安全) 未知漏洞挖掘

0day漏洞大集合

06-09

0Day挖掘浅析

Ms08067安全实验室

03-14

1111

如果是其他项目，选择Advanced Scan，Fortify会自动帮我们识别对应的开发语言（这里我们选择Advanced Scan），然后选择对应的文件夹。首先，针对于0Day的Web漏洞挖掘，能够肯定的方向一定是从代码审计开始，因为从黑灰盒角度来说，光是找该CMS框架的站点都已经够呛了；这里推荐使用CodeQL和Fortify，CodeQL偏向于Java代码审计，而Fortify类似于加强版的Seay代码审计工具，它拥有更强大的规则库。对于Web类的漏洞挖掘（包含逻辑类型），有什么更好的挖掘思路?

诚殷卫星0day挖掘大队

junanc的博客

08-14

375

骚年，看你骨骼惊奇，不加入我们吗？

0day漏洞挖掘实战

悦分享

10-04

364

阅读代码可知，ebp-98h存储的是一个已经释放的元素的Pointer，但是代码未经校验就把这个地址传给了CMarkupPointer的构造函数，而且由此生成了一个指向空元素的CMarkupPointer*。由于栈的空间是有限的，而函数在调用时会将返回地址、参数、局部变量等内容写入栈空间，一旦函数出现了过多层数的函数调用（一个容易理解且典型的例子便是递归时出现死循环），那么栈空间便会在短时间内耗尽，并抛出0xc00000fd栈溢出错误。但是由于这段代码结构简单，含义明确，因此可以作为一个较好的练手代码。

家用路由器0day漏洞挖掘技术研究揭秘

4. 编程与脚本编写能力：漏洞挖掘过程中往往需要编写特定的脚本或程序来自动化测试某些功能或进行渗透测试。 5. 漏洞发掘技术：了解各种漏洞发掘技术，包括但不限于缓冲区溢出、格式化字符串漏洞、注入漏洞、逻辑...