专栏首页FreeBufSitadel:一款功能强大的Web应用扫描器

Sitadel:一款功能强大的Web应用扫描器

Sitadel实际上是WAScan的升级版,不过是Python版本(>= 3.4)的,这样有助于研究人员根据自己的需要去进行自定义开发,并引入新的功能模块。

目前,Sitadel可实现扩展的功能如下:

前端框架检测; 内容分发网络检测; 定义扫描风险等级; 插件系统; 可使用Docker镜像进行构建和运行;

工具安装

$ git clone https://github.com/shenril/Sitadel.git
$ cd Sitadel
$ pip install .
$ python sitadel.py –help

功能介绍

1. 指纹识别

a) 服务器 b) Web框架(CakePHP、CheeryPy......) c) 前端框架(AngularJS、MeteorJS、VueJS......) d) Web应用程序防火墙(Waf) e) 内容管理系统(CMS) f) 操作系统(Linux、Unix......) g) 编程语言(PHP、Ruby......) h) Cookie安全 i) 内容分发网络(CDN)

2. 攻击

(1)暴力破解

管理接口 常用后门 常用备份目录 常用备份文件 常用目录 常用文件 日志文件

(2)注入攻击

HTML注入 SQL注入 LDAP注入 XPath注入 跨站脚本(XSS) 远程文件披露(RFI) PHP代码注入

(3)其他攻击

HTTPAllow方法 HTML对象 多重引用 Robots路径 WebDav 跨站追踪(XST) PHPINFO Listing

(4)漏洞利用

ShellShock 匿名密码(CVE-2007-1858) SPDY(CVE-2012-4929) Struts-Shock

参考命令

简单运行:

python sitadel http://website.com

以“高危”风险等级运行扫描,不支持重定向:

python sitadel http://website.com -r 2 --no-redirect

运行指定模块(查看运行日志):

python sitadel http://website.com -a admin backdoor -f header server –vvv

Docker运行:

docker build -t sitadel .
docker run sitadel http://example.com

Sitadel项目地址:【GitHub传送门】

* 参考来源:kitploit,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Turbolist3r:一款带有域名分析与发现功能的子域名枚举工具

    Turbolist3r是子域名发现工具sublist3r的一个分支,除了sublist3r原始的资源情报收集功能之外,Turbolist3r还集成了一些针对子域...

    FB客服
  • 我是如何黑掉英国间谍软件公司Gamma的

    前几天,有黑客《入侵了英国间谍软件公司Gamma》。本文翻译自黑客自己公布的入侵指南。详细的介绍了从信息收集,到发现目标站点,以及进行源码审计,绕过waf注入,...

    FB客服
  • 两封发票主题攻击邮件分析

    3月6日上午,邮箱连续收到两封以税务发票“Tax Invoice”为主题的邮件,全部是英文信息,接收时间分别是早上8:27和9:15,附件是windows系统....

    FB客服
  • python几个应用实例

    偶然间发现各路大牛的一些python创作,不得不说python是一个比较全面的语言,附上网址以后可能需要用到python视觉处理,爬虫数据分析的时候可以用的上吧...

    用户2398817
  • 简单实现并发:python concur

    可以使用python 3中的concurrent模块,如果python环境是2.7的话,需要下载https://pypi.python.org/packages...

    用户2398817
  • 确定不收藏?十张机器学习和深度学习工程师必备速查表!

    大数据文摘
  • 学界 | FAIR 田渊栋:2017 年的一些研究和探索

    今年的主要研究方向是两个:一是强化学习及其在游戏上的应用,二是深度学习理论分析的探索。 今年理论方向我们做了一些文章,主要内容是分析浅层网络梯度下降非凸优化的收...

    AI科技评论
  • QT 学习笔记

    Qt中所提供的类都是按模块进行组织的,反映到文件就是不同的文件夹。使用qtcreator新建工程时,可以看到默认情况下已经包含了qtcore和qtgui模块,...

    ke1th
  • git bash的安装和配置教程

    分布式 : Git版本控制系统是一个分布式的系统, 是用来保存工程源代码历史状态的命令行工具;

    业余草
  • SSRF 从入门到批量找漏洞

    如下是 example.com 去请求 http://google.com 的流程

    信安之路

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动