更多功能广大网友可以继续挖掘。 AppInfoScanner 一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如:Title、Domain、CDN、指纹信息、状态信息等。 GitHub数据 1.6k stars 31 watching 259 forks 开源地址:https://github.com/kelvinBen
在我们平时做渗透测试的时候,难免会遇到各种WAF的阻挡。这时一款良好的绕过WAF的渗透测试工具就显得很受渗透测人员欢迎,在这里我们推荐一款绕过WAF的实用渗透工具,希望对大家平时做渗透有所帮助。
在 Linux(Ubuntu/Fedora)和 MacOS 下的 Python 开发环境设置步骤
洞态 IAST 首发 Python-agent 尝鲜,验证 Agent 针对路径穿越漏洞的检测能力。
360 0Kee-Team 的 crawlergo动态爬虫 结合 长亭XRAY扫描器的被动扫描功能 (其它被动扫描器同理)
在介绍爬虫之前我们先说下网页基础,理解前端网页的一些基础知识对于学习爬虫是很有必要的,它是爬虫的基础之一。
前些日子,老师给我看了这本书,于是便开始了Flask的学习 GitHub上的大神,于是我也在GitHub上建了一个Flask的项目。 有兴趣可以看看: https://github.com/Silen
爬虫(spider,又网络爬虫),是指向网站/网络发起请求,获取资源后分析并提取有用数据的程序。
PyShell是一款功能强大的跨平台Python WebShell,该工具可以帮助广大研究人员在Web服务器上获得一个类似于Shell的界面,并允许进行远程访问。该工具与其他WebShell不同的地方就在于,PyShell的主要目标是在服务器端使用尽可能少的代码来实现目标功能,而不用我们去考虑使用的语言或服务器的操作系统。
其实HTTP断点续传原理比较简单,在HTTP数据包中,可以增加Range头,这个头以字节为单位指定请求的范围,来下载范围内的字节流。如:
crawler采用requests+lxml的方式进行爬虫,爬取内容和url采用XPath方式一致(关于XPath可参考XPath参考手册章节)。
通常在公司的后台服务架构上,有很多进程服务,这些进程服务RPC又经常用谷歌的protobuf格式沟通。
但是产品并非所有的接口,都是对外公开的,而当我们需要利用API来获取产品的部分信息,同时产品针对此类信息的接口又并未公开,这个时候,就需要我们自己尝试去获取和调用产品未公开的API接口了
APKDeepLens 是一个基于 Python 的工具,旨在扫描 Android 应用程序(APK 文件)是否存在安全漏洞。它专门针对 OWASP Top 10 移动漏洞,为开发人员、渗透测试人员和安全研究人员提供一种简单有效的方法来评估 Android 应用程序的安全状况。
首先说一下在Windows下安装Redis,安装包可以在https://github.com/MSOpenTech/redis/releases中找到,可以下载msi安装文件,也可以下载zip的压缩文件。
流数据有各种各样的场景用法。一种是,当事件发生时,有一种方法可以不断发出描述事件的消息。例如,当数据被添加到数据库中时,数据库希望将“数据添加”事件通知相关方。或者当股票价格发生变化时,证券交易所希望向订阅“价格变化”事件的所有服务公布新价格。
本文章仅当做教学和学习交流之用,请勿使用文中工具做非法测试!文中有不当之处,烦请指出,谢谢!
参考书籍:python3网络爬虫开发与实战 作者个人博客:https://cuiqingcai.com/
F5 BIG‐IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020年7月1日,F5官方公布流量管理用户界面(TMUI)存在 前台远程执行代码(RCE)漏洞(CVE‐2020‐5902)。攻击者利用该漏洞,构造恶意请求,在未授权的情况下获得目标服务器的权限,实现远程代码执行。
Photon提供的各种选项可以让用户按照自己的方式抓取网页,不过,Photon最棒的功能并不是这个。
cromos是一个用于下载Chrome网页商店合法扩展的工具,还可以在应用程序背景下注入代码。并且举例而言,cromos通过PowerShell创建可执行文件强制安装,并到云端更新文件来主持恶意文件。
利用证书透明度收集子域(目前有6个模块:censys_api,certdb_api,certspotter,crtsh,entrust,google)
本文目的:在centos7.x服务器上利用nginx和uwsgi部署Django应用
看了挺多资料,做了挺多事情,学了挺多乱七八糟的知识,笔记记得乱糟糟的,以至于一直没有整理发文(啊其实我就是懒),各位见谅。
dirsearch是一个基于python3的命令行工具,常用于暴力扫描页面结构,包括网页中的目录和文件。相比其他扫描工具disearch的特点是:
线程并不适用于每种场景, 因此并不要求使用线程。 但是pika并不禁用线程, 对于
GAP-Burp-Extension是一款功能强大的Burp扩展,该工具在getAllParams扩展的基础上进行了升级,该工具不仅可以帮助广大研究人员在安全审计过程中扫描潜在的参数,而且还可以搜索潜在的链接并使用这些参数进行测试,然后生成一个针对性的字典用于模糊测试。
在上周写完用scrapy爬去知乎用户信息的爬虫之后,github上star个数一下就在公司小组内部排的上名次了,我还信誓旦旦的跟上级吹牛皮说如果再写一个,都不好意思和你再提star了,怕你们伤心。上级不屑的说,那就写一个爬虫爬一爬github,找一找python大牛,公司也正好在找人。临危受命,格外激动,当天就去研究github网站,琢磨怎么解析页面以及爬虫的运行策略。意外的发现github提供了非常nice的API以及文档https://developer.github.com/v3/guides/,让我对github的爱已经深入骨髓。
在渗透测试中信息收集的重要性不言而喻,子域收集是信息收集中必不可少且非常重要的一环,目前网上也开源了许多子域收集的工具,但是总是存在以下部分问题:
Sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。
git clone https://github.com/maurosoria/dirsearch
Django是个好东西,希望你来搞搞。 Django是Python下的一款网络服务器框架。Python下有许多款不同的框架。Django是重量级选手中最有代表性的一位。许多成功的网站和APP都基于Django。虽然Django之于Python,达不到Rail之于Ruby的一统江湖的地位,但Django无疑也是Python在网络应用方面的一位主将。 Django,发音([ˈdʒæŋɡo]),和一部电影《被解救的姜戈》同名大大提高它的知名度。 00x1 使用Django前的环境准备 这里推荐简单粗暴的:pip或
FireProx是一款功能强大的AWS API网关安全管理工具,该工具可以帮助广大研究人员创建实现唯一IP地址轮换的实时HTTP转发代理。
Python的标准库urllib提供了大部分HTTP功能,但使用起来较繁琐。通常,我们会使用另外一个优秀的第三方库:Requests,适合于人类使用的HTTP库,封装了许多繁琐的HTTP功能,极大地简化了HTTP请求所需要的代码量。
项目地址:https://github.com/kerlomz/captcha_trainer
作者以 SciTime 项目(一个对算法训练时间进行估计的包)的发布为例,详细解释了发布的每个步骤。
今天开始学习崔大的「python3网络爬虫开发实战」,把每天学到的知识点记录下来,和大家一起交流、一起进步。
Github: https://github.com/wangy8961/python3-concurrency-pics-02 ,欢迎star
NoXss是一个供web安全工程师批量检测xss隐患的脚本工具。其主要用于批量检测,比如甲方内部安全巡检,人工分析千万级的url资产是不现实的,NoXss使用多进程+协程的方式,支持高并发,可以出色的完成这一任务。NoXss从实用主义出发,小巧精致,不如其他扫描器拥有各式各样的高级功能(比如绕过waf、存储型xss等),深入挖掘xss这里首推XSStrike,但在批量检测方面,NoXss是一个不错的选择。
ChatGPT/GLM提供图形交互界面,特别优化论文阅读/润色/写作体验,模块化设计,支持自定义快捷按钮&函数插件,支持Python和C++等项目剖析&自译解功能,PDF/LaTex论文翻译&总结功能,支持并行问询多种LLM模型,支持清华chatglm等本地模型。兼容复旦MOSS, llama, rwkv, 盘古, newbing, claude等
https://github.com/buger/goreplay是一个开源工具,能够捕获实时的HTTP流量,并重播它以测试和复制您的系统的行为。这对于性能测试和故障复现非常有价值。
ChatGLM2-6B模型的中文效果较好,相比ChatGLM-6B模型有了进一步的优化,可以本地部署尝试。
之前用 Python 写过一个自动生成球员职业生涯数据的程序,没想到反响很好,本人也感到很欣慰。很多人问我怎么做的,如何学 python 的,也有提建议说集成到 web 里面的。
我一直都认为,通过实现一个明确的目标或解决一个明确的问题,来学习 Python 技能,是最有效果的学习方式,即使不懂计算机底层原理的人,都可以使用这种方法学会。本文就从搭建一个抢票软件开始,如何一步步提升自己的 Python 技能,不需要写代码,零基础也可以学会。
vn.py的创始人‘用python的交易员’在周六举办了广州线下活动,在本次活动中主要分享了vn.py框架部署方案和数字货币量化交易两部分的内容。
领取专属 10元无门槛券
手把手带您无忧上云