如何進行自動化web滲透測試框架的運用分析,針對這個問題��,這篇文章詳細介紹了相對應的分析和解答����,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。
創(chuàng)新互聯(lián)公司堅持“要么做到��,要么別承諾”的工作理念���,服務領(lǐng)域包括:網(wǎng)站建設(shè)����、網(wǎng)站制作���、企業(yè)官網(wǎng)����、英文網(wǎng)站�、手機端網(wǎng)站���、網(wǎng)站推廣等服務����,滿足客戶于互聯(lián)網(wǎng)時代的臨澧網(wǎng)站設(shè)計、移動媒體設(shè)計的需求����,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案��。努力成為您成熟可靠的網(wǎng)絡建設(shè)合作伙伴�!
關(guān)于Vajar
Vajra是一個自動化的Web滲透測試框架�,它可以幫助廣大安全研究人員在Web應用程序滲透測試期間自動執(zhí)行無聊的偵察任務以及針對多個目標的相同掃描����。Vajra具有高度可定制特性,允許研究人員自定義掃描范圍���,我們無需針對目標執(zhí)行所有的掃描�����,我們可以根據(jù)自己的需要來選擇需要執(zhí)行的掃描任務��,這樣可以最大化減少不必要的通信流量�,并將掃描結(jié)果輸出至CouchDB中。
Vajra使用了最常見的開源工具�,也就是很多安全研究人員在進行安全測試時都會使用到的一些工具。Vajra會通過Web瀏覽器來完成所有的任務���,并且提供了易于使用的用戶接口和對初學者友好的功能框架�����。
眾所周知��,從掃描結(jié)果中分析數(shù)據(jù)在滲透測試的過程中是非常重要的�,只有當你能以適當?shù)姆绞綄⒛愕臄?shù)據(jù)可視化時我們才會盡可能地尋找出更多有價值的信息����。
目前,Vajra的開發(fā)人員添加了27個獨特的漏洞獎勵計劃功能���,之后還會添加更多支持�����。
核心功能
可執(zhí)行高度針對性掃描���;
并行運行多個掃描任務����;
可根據(jù)用戶要求高度定制掃描任務�����;
絕對初學者友好的Web UI��;
掃描速度快(異步掃描)����;
以CSV格式導出結(jié)果或直接復制到剪貼板
Telegram通知支持��;
Vajra能做什么���?
使用IP�、狀態(tài)碼和標題進行子域名掃描�;
子域名接管掃描;
端口掃描�;
主機發(fā)現(xiàn);
主機參數(shù)掃描�;
7x24小時子域名監(jiān)控;
7x24小時JavaScript監(jiān)控;
使用Nuclei執(zhí)行模板掃描��;
對終端節(jié)點進行模糊測試以發(fā)現(xiàn)隱藏的節(jié)點或關(guān)鍵文件(例如.env)�����;
提取JavaScript����;
使用自定義生成字典進行模糊測試;
提取敏感數(shù)據(jù)��,例如API密鑰和隱藏JavaScript�����;
檢測無效鏈接����;
基于擴展過濾節(jié)點;
Favicon哈希���;
GitHub Dork�;
CORS掃描���;
CRLF掃描��;
403繞過����;
查找隱藏參數(shù);
Google Hacking�;
Shodan搜索查詢�;
從JavaScript中提取隱藏節(jié)點;
創(chuàng)建基于目標的自定義單詞列表�����;
漏洞掃描�;
CVE掃描;
CouchDB存儲所有掃描輸出結(jié)果����;
工具手動安裝
$ git clone --recursive https://github.com/r3curs1v3-pr0xy/vajra.git
# sudo su (root access is required)
# cd vajra/tools/ && chmod +x *
# cd ../
# nano .env (Update username, password, and JWT Secret)
# cd ./install
# chmod +x ./install.sh
# ./install.sh
使用Docker-Compose運行
首先,我們需要使用下列命令將該項目源碼克隆至本地:
git clone --recursive https://github.com/r3curs1v3-pr0xy/vajra.git
接下來���,修改配置文件�����,增加API令牌等等���。然后運行下列命令:
docker-compose up
如果你想要修改并更新文件的話�����,則需要再次運行下列命令:
docker-compose build
docker-compose up
工具使用樣例
完整掃描:
掃描結(jié)果:
子域名掃描:
子域名監(jiān)控:
關(guān)于如何進行自動化web滲透測試框架的運用分析問題的解答就分享到這里了���,希望以上內(nèi)容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開�,可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識。
分享名稱:如何進行自動化web滲透測試框架的運用分析
文章出自:
http://weahome.cn/article/gjcsgh.html
重慶分公司
重慶分公司
