分享一款spring渗透测试工具-支持springboot敏感路径扫描和spring漏洞扫描

最新推荐文章于 2025-05-03 11:00:53 发布
原创 最新推荐文章于 2025-05-03 11:00:53 发布 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #安全

工具简介:

SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行spring boot敏感信息扫描以及进行spring相关漏洞的扫描与验证。

  • 最全的敏感路径字典:最全的spring boot站点敏感路径字典,帮你全面检测站点是否存在敏感信息泄漏
  • 支持指纹检测
    • 检测是否为spring站点:支持指纹识别,只有存在spring指纹的站点才进行下一步扫描,节约资源与时间
    • 敏感路径页面指纹检测:最大程度解决误报情况,达到同类型工具检出准确率最高,不用再人工确认是否为真的敏感页面而不是首页或者其他跳转的页面
  • 最全的spring漏洞检测POC: spring相关cve漏洞的检测poc全部给你集成到这款工具里,同类型最全
  • 无回显漏洞解决: 无回显漏洞检测光看响应状态码不太靠谱?支持–dnslog参数指定dnslog域名,看到dnslog记录才是真的成功验证漏洞存在
  • 其他一些常规支持:单个url扫描/ url文件扫描 / 支持指定代理 / 支持多线程

🏂 Run

# 安装使用, 更新版本之后建议重装依赖,新版本可能会增加三方库的依赖;
$ git clone https://github.com/sule01u/SBSCAN.git
$ cd SBSCAN
$ python3 -m venv sbscan         # 创建虚拟环境
$ source sbscan/bin/activate     # 激活虚拟环境
$ pip3 install -r requirements.txt -i https://pypi.tuna.tsinghua.edu
最低0.47元/天 解锁文章

200万优质内容无限畅学
unknown_sec
关注
【家政平台开发(48)】家政平台安全“攻防战”:渗透测试全解析
邓邓子的博客
04-15 246
本文聚焦家政平台开发中的渗透测试环节。开篇阐述渗透测试计划与准备工作,涵盖目标与范围确定、工具技术选型及团队组建培训。接着详细介绍测试执行与漏洞发现过程,包括网络层与应用层测试以及漏洞挖掘利用技巧。最后讲解渗透测试报告撰写规范,针对测试结果提出安全加固措施,并说明效果验证与复查方法,为家政平台构建坚实安全防线提供全面指导。​
spring 微服务nacos未授权访问漏洞修复
whandgdh的博客
06-17 7758
spring 微服务nacos未授权访问漏洞修复
spring综合性利用工具-SpringBoot-Scan-GUI(二)
SuperherRo的博客
08-14 1971
开源工具 SpringBoot-Scan 的GUI图形化版本
spring&springboot综合利用工具——yybaby spring scan 春天大宝贝 工具使用介绍下载
dreamer292的博客
03-06 1001
(春天大宝贝)是一款专门针对框架的安全检测工具,能够快速识别等安全风险。此外,还支持,可以在实战中快速提取敏感信息,极大提高渗透测试与应急响应的效率。
工具分享 | SBSCAN 一款专注于Spring框架的渗透测试工具
最新发布
macfxb6的博客
05-03 587
SBSCAN(附下载链接)是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证。
springboot测试工具
03-16
最适合测试Spring Boot REST API的工具 Wisdom RESTClient https://github.com/Wisdom-Projects/rest-client
spring综合性利用工具-SpringBoot-Scan(一)
SuperherRo的博客
08-14 7586
针对SpringBoot的开源渗透框架,以及Spring相关高危漏洞利用工具
批量SpringBoot漏洞扫描利用工具 绕过waf检测|漏洞探测,附下载链接。
分享渗透安全工具
10-04 972
SpringBoot漏洞扫描工具旨在帮助用户检测SpringBoot应用中的安全漏洞。默认情况下,它会优先从springboot\_urls.txt文件中读取扫描路径。若接口不存在,工具会尝试拼接API前缀进行扫描扫描所需的URL应直接放在urls.txt中,而扫描结果下载的heapdump文件将保存在result目录下。
spring相关漏洞利用工具-SpringBootExploit(二)
SuperherRo的博客
08-14 2722
项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速利用漏洞、降低漏洞利用门槛。
【亲测免费】 探索SpringBoot-Scan:一个智能扫描与管理工具
gitblog_00057的博客
03-26 1031
探索SpringBoot-Scan:一个智能扫描与管理工具 项目简介 在日常的开发工作中,Spring Boot以其简洁、高效的特性深受广大开发者喜爱。而 是一个针对Spring Boot应用的智能扫描管理系统,它旨在帮助开发者更加便捷地管理监控他们的Spring Boot应用,从而提高工作效率。 技术分析 SpringBoot-Scan基于JavaSpring框架构建,利用反射机制Spr...
spring综合性利用工具-Scan-Spring-GO(四),附下载链接。
白帽子黑客SuperherRo
09-18 674
针对SpringBoot的渗透工具Spring漏洞利用工具
[附源码]计算机毕业设计springboot常见Web漏洞对应POC应用系统
李会计算机程序设计
11-28 734
项目运行环境配置:Jdk1.8 + Tomcat7.0 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。项目技术:SSM + mybatis + Maven + Vue 等等组成,B/S模式 + Maven管理等等。环境需要1.运行环境:最好是java jdk 1.8,我们在这个平台上运行的。其他版本理论上也可以。2.IDE环境:IDEA,Eclipse,Myeclipse都可以。
漏洞检测工具
01-09
可检测网站中存在的漏洞及风险问题,并能根据不同的风险给出详细的修复建议及该风险的危险等级,保证网站的安全运营
一个半自动化springboot打点工具,内置目前springboot所有漏洞!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
12-05 536
一个半自动化springboot打点工具,内置目前springboot所有漏洞。
框架安全Spring渗透
wuxiaopengnihao1的博客
08-13 833
其中Spring就是Spring Framework的缩写,Spring MVC是Spring中的一个MVC框架,用于开发Web应用网络接口。本篇文章是Spring渗透复现记录,记录了实际中常见的Spring漏洞并如何利用,及简单对漏洞底层的原理分析,分为四个部分:Spring简介、IDEA部署Spring、Vulhub靶场环境搭建相关漏洞复现,在学习Spring中阅读了十几篇中英文相关文章,由浅入深地学习并最终成功复现了5个漏洞,参考的文章也在文中列出。接着,开始我们的Spring渗透之路学习!...
spring端点扫描工具-SB-Actuator
SuperherRo的博客
08-14 850
Spring Boot Actuator未授权访问【XXE、RCE】单/多目标检测
由于想自己实现一个简单的springboot扫描器,所以有了这篇文章
shizhuo09的博客
04-26 405
别的不懂,反正到了这里ComponentScanAnnotationParser有个doScan方法,参数为启动类所在的package 点进去看了一下。 发现有这么个方法,再点 没有想要的,再点 好了,有一点眉目了。根据basepackage生成了要扫描的classpath路径 好了,找出来了 ...
SpringBoot - 扫描指定目录文件(打包后不能读取resource的也适用)
zhqing091802的博客
03-30 1214
SpringBoot - 扫描指定目录文件(打包后不能读取resource的也适用)
Spring漏洞综合利用工具
Libra1313的博客
02-11 1426
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值