weixin_44820552的博客

首先用简单的payload，例如，这些进行打点，需要注意的是设置后需要点击加载才能生效再设置一下自定义报错信息，你payload写的什么，报错信息也要写对应的该插件添加XSS payload，通过监测响应报文里面的标签来发现问题点，可以很好地协助测试人员发现XSS问题。拙作粗浅，多有不足，望各位海涵指正。

在渗透测试过程中，经常用到python脚本，但是一些python脚本支持python2.x，一些支持python3.x。由于环境不同容易出现安装依赖失败的情况，因此就需要切换python版本。本文介绍的是使用Anaconda来切换python版本和依赖管理。正常是只有一个base环境，python27需要自己安装。conda info --envs 查看环境信息。剩下的就按需选择，一直Next，等待安装结束。切换python环境为2.7。安装python27环境。选择为全部用户进行安装。

这是一个用于查询组件CVE漏洞信息的Python脚本。它使用NIST NVD的RESTful API来获取CVE数据，并提供格式化的输出和导出到Excel功能。

执行python install -r requirements 安装依赖。执行python dirsearch -h 即可查看是否安装成功。确保python环境是3.x。

pydictor 是一个使用 python 语言开发，通过命令行生成爆破字典的强大工具，包含有自定义字符集字典，字典合并，词频统计，去除重复项，枚举数字字典，后台管理员密码字典，字典编码，加密，社会工程学字典等功能。参数解释：-char 自定义字符集字典模块 "asdf123._@"：双引号里是自定义字符--tail 添加后缀为@site.com。

这是一款手工WEB渗透测试辅助工具，主体程序核心功能为网站浏览，HTTP/S流量数据包截获、修改、重发及基于web的各类型爆破，Poc、Exp验证，程序自带脚本三宝Nmap、Hydra、SQLMap及Awvs14的GUI图形化插件高效率完成日常渗透工作。在测试工具多如牛毛的当前，Dude可以整合自己常用的渗透测试工具和网站，测试过程中也会提高一定的效率，属于较好的工具之一。有需要的朋友可以点击下面连接进行下载使用。Dude下载地址。

渗透测试工具RAD操作手册

蚁剑(AntSword)是一款开源的跨平台WebShell管理工具，将一句话木马上传到被测平台，通过蚁剑进行连接获取被测平台的服务器webshell。