漏洞发现(工具篇)

最新推荐文章于 2025-03-18 17:18:30 发布
最新推荐文章于 2025-03-18 17:18:30 发布
阅读量1k 收藏 7
点赞数 2
分类专栏: 漏洞发现 文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_46085232/article/details/118249621
版权
本文介绍了常用的漏洞扫描工具,包括Xray、AWVS、Goby、vulmap、burp、nmap和Nessus,详细阐述了它们的功能、特点和下载地址。并讨论了如何使用这些工具,特别是它们之间的联动,如Xray&Awvs&Burp、Goby&Awvs&Xray和Goby&Fofa&Vulmap的联动,以提高扫描效率和深度。还提到了利用工具进行登录框扫描和自定义扫描头的高级应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞发现-工具篇


想必不管是小白,还是大佬,都听过,或者使用,甚至二次开发过漏扫工具,比如,xray,awvs,goby等等。这里将先介绍常用的工具,及其用法,在叙述,漏扫工具的“正确使用方法”。

常用漏洞扫描工具

Xray

Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持Windows /macOS /Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
下载地址:https://github.com/chaitin/xray/releases

AWVS

Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面,并且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力。
下载地址:https://www.ddosi.com/awvs14-2/

Goby

Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它

最低0.47元/天 解锁文章
web安全渗透测试工具(一):快速发现漏洞漏洞综合扫描和联动
HACKONE的博客
05-24 830
Burpsuite,Awvs,Xray,Goby,Afrog,Yakit,Nuclei,Vulmap,Pocassist,Nessus,Pentestkit,Kunyu,Pocsuite3,浏览器各类插件,Burpsuite插件(HaE,ShiroScan,FastJsonScan,Log4j2Scan,Springscan,JScan等)。Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
漏洞发现-漏扫项目&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动
SuperherRo的博客
03-13 3162
1、综合类-Burp&Xray&Awvs&Goby 2、特征类-Afrog&Yakit&Nuclei 3、联动类-主动扫描&被动扫描&中转扫描 章节点: 漏洞发现-Web&框架组件&中间件&APP&小程序&系统 扫描项目-综合漏扫&特征漏扫&被动漏扫&联动漏扫 Poc发-Ymal语法&联动导入&项目拓展&Ai结合 扫描插件-Burpsuite插件&浏览器插件&自动模版
5 款漏洞扫描工具:实用、强力、全面(含源)
ZL_1618的博客
02-21 3361
Trivy 是一个漏洞扫描程序,能够检测源软件中的CVE。这款工具针对风险提供了及时的解释,发人员可自行决定是否在容器或应用程序中使用该组件。常规的容器安全协议使用的是静态镜像扫描来发现漏洞,Trivy则是将漏洞扫描工具无缝合并到集成发环境当中。另外,由于背靠庞大的源社区,许多的集成及附加组件都支持 Trivy,例如使用 Helm 图表能够将 Trivy 安装到 Kubernetes 集群,借助Prometheus 导出器能够提取漏洞指标。
Nexus Repository 3 必知必修的高危漏洞
PJzhangSec的博客
03-18 327
【代码】Nexus Repository 3 必知必修的高危漏洞
渗透测试自动化生成报告——ExportReport
土豆的博客
03-07 2439
本项目用于自动化生成报告。可根据项目需求,通过简单的提取变量来自定义报告模板。内附常见扫描器API/原报告(awvs、xray、goby)数据提取模块,可直接生成全新的自定义报告。 对有复杂的功能需求时,适用于有Python基础的人使用。 本项目内附发所用的资料文档,欢迎各位提Pull Request。
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 4081
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打cc拦截关,本地.
AWVS自动提交任务扫描
星辰之域的专栏
04-09 1661
背景 甲方安全场景中,经常会遇到大批量测试,或者工单节点的自动提测等。AWVS作为一款经典的WEB扫描器,作为日常扫描巡检、第三方审查算得上是个不错的选择,而它本身不支持多任务提交,本文主要介绍就多任务自动提交场景进行发自动扫描脚本。 环境准备 一款抓包工具(Fiddler、Burp均可) AWVS扫描器(11、12版本均可,生成一枚API KEY) Python3(2也可以,安装个req...
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
ch258563的博客
06-06 1886
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
漏洞扫描工具系列-1.1
04-01
主要介绍的是“漏洞扫描工具系列-1.1”,这是一个初步的教程,后续还会有更多相关的工具和资源分享。 漏洞扫描工具的主要功能是自动检测目标系统上的安全弱点,包括操作系统、数据库、网络设备和服务等。这些...
漏洞扫描工具
06-28
文章将详细介绍三款常用的漏洞扫描工具:ISS(Internet Security Systems),MBSA(Microsoft Baseline Security Analyzer)以及X-Scanner,并探讨它们的功能、使用方法及重要性。 1. ISS(Internet Security ...
PLC漏洞检查工具集的设计与实现.pdf
08-07
《PLC漏洞检查工具集的设计与实现.pdf》这文章就介绍了一款针对工业控制系统漏洞检查的自动化工具集,其目的是辅助完成工控系统安全基线的检查工作。 文章提到的漏洞检查工具集具有五大核心模块:信息管理、网络...
AWVS11 API接口文档
09-04
整理网络资源,根据网络上的相关文档结合自己的实际操作整理的AWVS11的API接口文档,官方的API接口文档是商务付费的,所以只能自己整理。我所使用的接口测试工具为curl,curl的具体安装和相关参数请度娘。核心参考文档请看附件。如果遇到了报文编码问题,请更换其他可以指定报文字符集的工具或用代码自己实现。
AWVS 11 接口文档
05-16
Acunetix Web Vulnerability Scanner 11是著名的网络安全漏洞扫描工具,功能强大。 这是根据网络以及自己操作过程中抓包整理而成的接口文档,非官方文档! 已基本包含所有操作,我们参考此文档做发已没有问题。
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1777
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
Nexus远程命令执行漏洞复现(CVE-2019-7238)
qq_62056583的博客
07-10 956
漏洞是由于代码中基于OrientDB自定义函数的任意JEXL表达式执行功能,所以我们可以通过构造一个.jar包将请求拦截到burpsuite中并构造payload来实现一个代码注入,当然我们可攻击的方面不止于此还可以将靶机反弹shell等恶意的攻击行为。
2022渗透测试-推荐一款漏洞扫描工具-AWVS安装与使用
热门推荐
保持微笑的博客
02-10 1万+
目录 AWVS简介 AWVS功能介绍 AWVS的安装 AWVS的使用 AWVS简介 AWVS是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞漏洞来审核Web应用程序的安全性。 AWVS功能介绍 WebScanner :核心功能,web安全漏洞.
Sonatype Nexus Repository 3 路径遍历漏洞复现(CVE-2024-4956)
0xSec
05-23 1737
2024年5月,Nexus Repository官方Sonatype发布了新补丁,修复了一处路径穿越漏洞CVE-2024-4956。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致信息泄露。该漏洞无前置条件且利用简单,建议受影响的客户尽快修复漏洞
Sonatype Nexus Repository 3目录穿越-文件下载漏洞-CVE-2024-4956
渗透安全Sec
05-24 1095
Sonatype Nexus Repository 3目录穿越-文件下载漏洞-CVE-2024-4956
CVE-2025-24813检测工具
最新发布
03-25
<think>好的,用户正在寻找检测CVE-2025-24813漏洞工具和相关教程。首先,我需要确认这个CVE编号是否存在。根据已有的知识库,CVE编号通常是按年份和顺序分配的,比如CVE-2024-38077是2024年的漏洞,而用户提到的CVE-2025-24813属于2025年,这可能是一个虚构的或尚未发布的漏洞。不过,用户提供的引用中提到了Apache Tomcat的远程命令执行漏洞CVE-2025-24813,这可能是一个测试或示例条目。 接下来,我需要检查用户提供的引用内容。引用[2]提到Goby发布了关于这个漏洞安全通告,但链接中没有提供具体工具。用户需要工具和教程,但现有的引用信息有限。根据常见的漏洞扫描工具,比如Goby、Nmap、Metasploit,或者Tenable Nessus,可能支持该漏洞的检测。但需要确认这些工具是否已经更新包含了CVE-2025-24813的检测模块。 然后,考虑到用户可能无法立即找到官方工具,建议他们关注安全厂商的公告,比如Goby、奇安信、绿盟等,这些公司通常会及时更新漏洞检测工具。同时,提醒用户注意工具来源的可靠性,避免下载恶意软件。 关于使用教程,如果工具尚未公,用户可以参考类似漏洞的扫描步骤,例如使用Metasploit模块或Nmap脚本进行Tomcat漏洞检测的一般流程。此外,建议用户及时更新Tomcat到安全版本,并采取临时防护措施,如限制访问权限。 最后,需要确保回答结构清晰,分步骤指导用户,并引用提供的参考资料,同时在末尾添加相关问题供用户进一步探索。</think>### 关于CVE-2025-24813漏洞检测工具的解答 #### 1. 漏洞背景 CVE-2025-24813是Apache Tomcat的远程命令执行漏洞,允许攻击者通过特定请求在未授权情况下执行恶意代码。其CVSS评分较高(具体分值需参考官方通报),属于高危漏洞[^2]。 #### 2. 工具获取与使用 ##### 方法一:官方安全工具 根据引用[2],Goby漏洞扫描平台已发布针对此漏洞的检测模块。建议通过以下步骤操作: 1. **下载Goby工具**:访问Goby官网(https://gobysec.net/)下载最新版本。 2. **更新漏洞库**:启动工具后,点击“漏洞库更新”确保包含CVE-2025-24813检测规则。 3. **扫描目标主机**:输入目标IP或域名,选择“Tomcat专项扫描”模式启动检测。 ##### 方法:临时脚本检测 若暂无集成工具,可使用Nmap脚本临时验证: ```bash nmap -p 8080 --script=http-vuln-cve2025-24813 <目标IP> ``` (注意:需确认Nmap官方是否已发布该脚本) #### 3. 使用注意事项 - **工具来源验证**:仅从官网或可信渠道下载工具,避免第三方链接风险(如引用[1]中非相关工具的第三方网盘可能含误导内容)[^1]。 - **环境隔离测试**:建议在非生产环境中先验证工具效果。 #### 4. 临时防护建议 若暂时无法修复漏洞,可采取以下措施: 1. 限制Tomcat管理端口的访问IP(如通过防火墙规则)。 2. 禁用非必要的Tomcat功能模块。 #### 5. 修复方案 升级到Apache Tomcat官方发布的安全版本(需关注Tomcat官网公告)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值