13 個用於偵察和漏洞利用的線上工具

作者: /

對於從事筆測試專案的每個滲透測試人員或安全工程師來說,個用於偵察都是必不可少的。了解搜尋或發現特定資訊的正確工具可以使滲透測試人員更輕鬆地獲得有關目標的更多資訊。個用於在本文中,個用於我們將查看安全專業人員可以用來查找特定資訊和利用目標的線上工具清單。

內容 隱藏 
1 找到目標公司的技術棧
2 犯罪智慧財產權
3 內建
4 瓦帕利澤
5 目標子域偵測
DNS垃圾站
7 奈米映射器
8 查找電子郵件地址

尋找目標公司的技術棧

在找到或了解與目標相關的電子郵件地址和其他外部資訊之前,喀麥隆電話號碼庫個用於您需要了解其技術堆疊。例如,了解目標是基於PHP Laravel 和 MySQL 建構的,將有助於滲透測試人員了解針對目標使用哪種類型的漏洞。

犯罪智慧財產權個用於

犯罪IP 是一個綜合性的CTI搜尋引擎,可以在線上滲透測試過程中有效地使用。個用於透過資產搜尋功能,使用者可以輕鬆找到存在各種漏洞的資產。個用於犯罪IP還提供有關連接的 IP 位址和子網域的詳細信息,以及用於創建頁面的技術,以便進行更詳細的分析。個用於使用產品、產品版本和 cve_id 等過濾器,您可以輕鬆找到具有特定漏洞的資產。此外,您可以使用各種篩選器(例如標題、國家/地區和 tech_stack)來有效縮小搜尋範圍。

喀麥隆電話號碼庫
網域搜尋功能中提供各種篩選器

例如,資產搜尋可以以無數種方式使用,個用於例如搜尋具有易受攻擊的 MySQL 版本的資產或使用「標題:『索引』」過濾器啟用目錄清單的資產。

搜尋結果經過關鍵字「索引」。

內建

builtWith是一個技術搜尋引擎或分析器。個用於它透過 域API和即時域API為滲透測試人員提供即時目標資訊。 Domain API 向滲透測試人員提供技術信息,例如分析服務、內建插件、框架、庫等。尋找搜尋字串檢索與網域 API 相同的資訊。另一方面,Domain API 會立即或即時地對所提供的網域或 URL執行進階搜尋。2024 年您需要嘗試的 20 多種絕對頂級的數位行銷工具個用於您可以將這兩個 API 整合到安全產品中,以便為最終用戶提供技術資訊。

沃帕利澤

Wappalyzer 是一種技術分析器,個用於用於提取與目標技術堆疊相關的資訊。如果您想了解目標正在使用哪些CMS或程式庫以及哪些框架,Wappalyzer 就是您可以使用的工具

有多種用途 – 您可以使用 Lookup API存取目標資訊。個用於安全工程師或資訊安全開發人員最常使用此方法將Wappalyzer 作為技術分析器整合到安全產品中。個用於否則,您可以安裝 Wappalyzer 作為Chrome、Firefox 和 Edge瀏覽器 的擴充功能。

目標子域偵測

域名是網站的名稱。中國新聞子網域是網域名稱的附加部分。通常,個用於一個域與一個或多個子域相關聯。因此,有必要知道如何尋找或發現與目標域相關的子域。

域名轉儲程序

Dnsdumpster 是一個免費的網域研究工具,個用於可讓您發現與目標領域相關的子領域它透過從 Shodan、Maxmind 和其他搜尋引擎提供資料來搜尋子網域。您可以搜尋的網域數量有限制。如果您想克服此限制,您可以嘗試他們的商業產品,稱為域分析器。

域分析器執行域發現的方式與 Dnsdumpster 非常相似。個用於但是,網域分析器包含其他信息,例如 DNS 記錄。與 Dnsdumpster 不同,網域分析器不是免費的。它需要完整的會員計劃。 Dnsdumpster 和網域分析器服務皆屬於 hackertarget.com。

奈米映射器

為了尋找子域名,nmmapper 使用內建智慧工具,例如 Sublister、DNScan、Lepus 和 Amass。

NMMAPER 還有許多其他工具,例如 ping 測試、DNS 查找、WAF偵測器等。

尋找電子郵件地址

為了有效地檢查一家公司是否容易受到網路釣魚攻擊,個用於您需要找到目標公司工作的員工的電子郵件地址。

獵人

Hunter 是一種受歡迎的電子郵件搜尋服務。個用於它允許您使用網域搜尋方法或電子郵件搜尋方法來搜尋電子郵件地址。使用網域搜尋方法時,您可以透過網域搜尋電子郵件地址。

Hunter 也提供 API。

電子郵件爬蟲

圖形介面或 API – 您的選擇。 EmailCrawlr 傳回 JSON 格式的電子郵件地址清單。

斯克拉普

儘管 Skrapp 是為電子郵件行銷而設計的,但它可以使用其網域搜尋功能來搜尋電子郵件地址。還有另一個功能稱為批次電子郵件查找器。個用於它允許您匯入包含員工和公司名稱的 CSV 檔案。它會大量傳回電子郵件地址。對於那些喜歡以程式設計方式尋找電子郵件地址的人來說,個用於有一個剩餘的 API。

搜尋資料夾和文件

了解pentest 專案中的目標Web 伺服器上託管哪種類型的檔案或資料夾非常重要。通常,個用於管理員密碼、GitHub金鑰等敏感資訊可以在 Web 伺服器上的檔案和資料夾中找到。

網址模糊器 

Url Fuzzer 是 Pentest-Tools 的線上服務。它使用專門設計的單字清單來檢測隱藏的檔案和目錄。此清單包含 1000 多個已知檔案和目錄的常用名稱。個用於它允許您使用輕微或全面掃描來檢查隱藏的資源。全掃描模式僅適用於註冊用戶。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

版權所有 喬丹20

返回頂端