调用Acunetix11 API接口实现扫描

发布时间:May 19, 2017 // 1 Comment

实际上关于api的文档很少很少.从网络中找了好会才发现俩 **1.获取API-KEY** 首先来获取一个API-KEY 通过右上角Administrator--Profile **2.建立一个扫描目标** 在演示一个扫描之前您将需要会在您想要扫描的网站上建立一个扫描目标。您将需要利用(POST)目标终端去实现它。使用cURL: ```bash curl ...

阅读更多...

分类:运维工作,工作日志,开发笔记,linux,windows

基于docker的sentry搭建过程

发布时间:April 13, 2017 // No Comments

最近拜读董伟明大牛的《python web实战开发》发现他推荐了一个神器sentry.恰好不久前还在和小伙伴讨论如何记录try--except的异常信息。发现刚好可以用上. ** 简介 ** Sentry’s real-time error tracking gives you insight into production deployments and informati...

阅读更多...

分类:运维工作,开发笔记,linux,windows,python,生活琐事

kali下安装Openvas

发布时间:March 11, 2017 // No Comments

--- 今天发现做几个模型没有太大的思路,和小伙伴出去应急,顺便练练手看看还会不会渗透这个技术活.发现以前无聊的时候写的一些脚本还比较实在,但是局限性还是体现出来了.发现扫描的时候一些问题还是不能全部的体现出来.恰好小伙们有个kali的虚拟机,然后想到许久以前用过的openvas,给小伙伴拷贝了一份虚拟机回来安装试试 --- 其实kali是有openvas这个玩意的,就是没有启...

阅读更多...

分类:linux,windows

burp出品的服务器端模板注入教程

发布时间:February 27, 2017 // 1 Comment

地址:http://blog.portswigger.net/2015/08/server-side-template-injection.html 好长..看了一下,却是讲的很清楚.. 抽空翻译下.. XSS 绕过的地址: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet https://ht...

阅读更多...

分类:工作日志,linux,转帖文章,windows

小型靶场一枚

发布时间:December 24, 2016 // 2 Comments

最近测试一些东西,需要用到靶场,类似xvwa,dvws这些.意外发现一个py的靶场,竟然可以满足大部分需求。主要是轻量级啊 其实整个文件代码很少,不足100行[实际99] #!/usr/bin/env python import BaseHTTPServer, cgi, cStringIO, httplib, json, os, pickle, random, re, socket...

阅读更多...

分类:工作日志,代码学习,python

改造dnslog的api为我们需要的输出方式

发布时间:December 13, 2016 // No Comments

以前有cloudeye,发现它的api友好的不得了,后来又尝试过一段时间的ceye.io就是ceye.io其实不稳定,后来把目光转向了dnslog不得不说dnslog的开源确实是方便,但是它的api确实是蛋疼的紧 比如我们有一个whoami的参数 通过api查询 http://webadmin.secevery.com/api/web/www/whoami/ 发现是false,...

阅读更多...

分类:开发笔记,linux,python,windows,生活琐事

About w3af_api

发布时间:November 23, 2016 // No Comments

今天看到了一个saas产品,和作者聊了下,发现是基于w3af_api来实现的。然后自己补充了其他的类型.感觉很厉害的样子。于是跑过来看了下w3af。相关的文档在这里 w3af算的上是老牌的东西了。反正我是比较少用的,总是感觉效果没有理想的那么好。比如它的爬虫模块太久没有更新了.导致现在出现的很多动态脚本的结果没发准确抓取到。对比下 - http://testphp.acunetix.c...

阅读更多...

分类:运维工作,工作日志,开发笔记,代码学习,linux,python,生活琐事

在线cms识别以及bugscan插件调用

发布时间:October 23, 2016 // No Comments

想着自己搞的话估计是比较符合自己的需求。但是问题就是太耗时了,估计覆盖面也不广泛。 恰逢遇到了http://whatweb.bugscaner.com/这个网站,发现它的覆盖面还是不错的。常见的cms都整合过去了。测试了几个发现误报率还是在可以接受的范围内.于是自动化。一个简单的demo.缺点是只能访问http一类的.https的不支持。它提交的时候会自动去掉http|https://...

阅读更多...

分类:开发笔记,linux,python,windows

MSSQL Agent Jobs for Command Execution

发布时间:October 7, 2016 // No Comments

The primary purpose of the Optiv attack and penetration testing (A&P) team is to simulate adversarial threat activity in an effort to test the efficacy of defensive security controls. Testing i...

阅读更多...

分类:运维工作,工作日志,linux,windows

使用python-nmap不出https踩到的坑

发布时间:September 1, 2016 // No Comments

今天在使用python-nmap来进行扫描入库的时候发现https端口硬生生的给判断成了http 仔细测试了好几次都是这样子。后来果断的不服气,仔细看了下扫描的参数。发现python-nmap调用的时候会强制加上-ox -这个参数 正常扫描是 nmap 45.33.49.119 -p T:443 -Pn -sV --script=banner 然而经过python-nm...

阅读更多...

分类:工作日志,运维工作,开发笔记,linux,python,windows,生活琐事