- 7 Kas 2023
- 144
- 70
Selamlar Arkadaşlar Ben Terapist,
Bugün sizlere Hacking ve Savunma sistemleri ile ilgili içeren github'daki bütün toolları sundum.
umarım işinize yarar
Saygılarımı sunar iyi forumlar dilerim.
Bölüm 2 Linki:
2.bölüm
(Bu Konuyu Beğenerek bana Destek olabilirsiniz)
Keşif Bölümü
Alt Alan Adı Numaralandırma (keşif)
Sublist3r - Penetrasyon testçileri için hızlı alt alan numaralandırma aracı
Amass - Derinlemesine Saldırı Yüzey Haritalaması ve Varlık Keşfi
MassDns - Toplu aramalar ve keşif için yüksek performanslı bir DNS saplama çözümleyicisi (alt alan adı numaralandırması)
Findomain - En hızlı ve platformlar arası alt alan numaralandırıcı, zamanınızı boşa harcamayın.
Sudomy - Sudomy, alt alanları toplamak ve hata avı / sızma testi için otomatik keşif (keşif) gerçekleştiren alanları analiz etmek için bir alt alan adı numaralandırma aracıdır
kaos-istemci - Kaos DNS API'si ile iletişim kurmak için istemciye gidin.
Domained - Çoklu Araç Alt Etki Alanı Numaralandırması
bugcrowd-levelup-subdomain-enumeration - Bu depo, Bugcrowd LevelUp 2017 sanal konferansında verilen "Ezoterik alt alan numaralandırma teknikleri" konuşmasındaki tüm materyali içerir
shuffledns - shuffleDNS, go'da yazılmış massdns'in etrafındaki bir sarıcıdır; bu, aktif kaba kuvvet kullanarak geçerli alt alan adlarını numaralandırmanıza ve aynı zamanda joker karakter kullanımı ve kolay giriş-çıkış ile alt alan adlarını çözümlemenize olanak tanır…
censys-subdomain-finder - Censys'in sertifika şeffaflık günlüklerini kullanarak alt alan adı numaralandırmasını gerçekleştirir.
Turbolist3r - Keşfedilen alanlar için analiz özelliklerine sahip alt alan adı numaralandırma aracı
censys-enumeration - Censys'te SSL/TLS sertifika veri kümesini kullanarak belirli bir alan adı için alt alan adlarını/e-postaları çıkarmaya yönelik bir komut dosyası
tugarecon - Penetrasyon testçileri için hızlı alt alan numaralandırma aracı.
as3nt - Başka bir Alt Alan Adı Numaralandırma Aracı
Subra - Alt alan adı numaralandırması için bir Web-UI (alt bulucu)
Substr3am - Verilen SSL sertifikalarını izleyerek ilginç hedeflerin pasif keşfi/sayılanması
Etki Alanı - enumall.py Regon-ng için kurulum komut dosyası
altdns - Alt alan adlarının permütasyonlarını, değişikliklerini ve mutasyonlarını oluşturur ve ardından bunları çözer
brutesubs - Docker Compose aracılığıyla kendi kelime listelerinizi kullanarak birden fazla açık kaynaklı alt alan adı bruteforcing aracını (paralel olarak) çalıştırmak için bir otomasyon çerçevesi
dns-parallel-prober - onunki, belirli bir alanın mümkün olduğunca hızlı bir şekilde çok sayıda alt alanını bulmak için paralelleştirilmiş bir alan adı araştırıcısıdır.
dnscan - dnscan, python kelime listesi tabanlı bir DNS alt alan tarayıcısıdır.
knock - Knockpy, bir hedef etki alanındaki alt etki alanlarını bir kelime listesi aracılığıyla numaralandırmak için tasarlanmış bir python aracıdır.
hakrevdns - Toplu halde ters DNS aramaları gerçekleştirmek için küçük, hızlı bir araç.
dnsx - Dnsx, kullanıcı tarafından sağlanan çözümleyicilerin bir listesiyle seçtiğiniz birden fazla DNS sorgusunu çalıştırmanıza olanak tanıyan hızlı ve çok amaçlı bir DNS araç setidir.
subfinder - Subfinder, web siteleri için geçerli alt alan adlarını keşfeden bir alt alan adı keşif aracıdır.
assetfinder - Belirli bir alanla ilgili alanları ve alt alanları bulun
crtndstry - Başka bir alt alan adı bulucu
VHostScan - Geriye doğru aramalar gerçekleştiren bir sanal ana bilgisayar tarayıcısı
scilla - Bilgi Toplama aracı - DNS / Alt Etki Alanları / Bağlantı Noktaları / Dizinlerin numaralandırılması
sub3suite - Alt etki alanı numaralandırması, istihbarat toplama ve saldırı yüzeyi haritalaması için araştırma düzeyinde bir araç paketi.
cero - Rastgele ana bilgisayarların SSL sertifikalarından alan adlarını kazıyın.
Bağlantı Noktası Tarama (keşif)
masscan - TCP bağlantı noktası tarayıcısı, SYN paketlerini eşzamansız olarak yayar ve tüm İnternet'i 5 dakikadan kısa sürede tarar.
RustScan - Modern Bağlantı Noktası Tarayıcısı
naabu - Güvenilirlik ve basitliğe odaklanılarak go ile yazılmış hızlı bir bağlantı noktası tarayıcısı.
nmap - Nmap - Ağ Eşleyicisi. Resmi SVN deposunun Github aynası.
sandmap - Steroidler üzerinde Nmap. Saf Nmap motorunu çalıştırma yeteneğine sahip basit CLI, 459 tarama profiline sahip 31 modül.
ScanCannon - Masscan hızını nmap'in güvenilirliği ve ayrıntılı numaralandırmasıyla birleştirir.
Ekran Görüntüleme (keşif)
EyeWitness - EyeWitness, web sitelerinin ekran görüntülerini almak, bazı sunucu başlık bilgilerini sağlamak ve mümkünse varsayılan kimlik bilgilerini belirlemek için tasarlanmıştır.
aquatone - Aquatone, çok sayıda ana bilgisayardaki web sitelerinin görsel olarak incelenmesine yönelik bir araçtır ve HTTP tabanlı saldırı yüzeyine hızlı bir şekilde genel bakış elde etmek için kullanışlıdır.
screenshoteer - Komut satırından web sitesi ekran görüntüleri ve mobil emülasyonlar oluşturun.
gowitness - gowitness - Chrome Headless'ı kullanan bir golang, web ekran görüntüsü yardımcı programı
WitnessMe - Web Envanteri aracı, Pyppeteer (başsız Chrome/Chromium) kullanarak web sayfalarının ekran görüntülerini alır ve hayatı kolaylaştırmak için bazı ekstra özellikler sağlar.
eyeballer - Pentest ekran görüntülerini analiz etmek için evrişimli sinir ağı
scrying - RDP, web ve VNC ekran görüntülerini tek bir yerde toplamak için bir araç
Depix - Pikselleştirilmiş ekran görüntülerinden şifreleri kurtarır
httpscreenshot - HTTPScreenshot, çok sayıda web sitesinin ekran görüntülerini ve HTML'sini almaya yönelik bir araçtır.
Teknolojileri (keşif)
wappalyzer - Web sitelerindeki teknolojiyi tanımlayın.
webanalyze - Toplu taramayı otomatikleştirmek için Wappalyzer Limanı (web sitelerinde kullanılan teknolojileri ortaya çıkarır).
python-builtwith - BuildWith API istemcisi
whatweb - Yeni nesil web tarayıcısı
RetireJS - bilinen güvenlik açıklarına sahip JavaScript kitaplıklarının kullanımını tespit eden tarayıcı
httpx - httpx, yeniden denenebilir http kitaplığını kullanarak birden fazla probun çalıştırılmasına olanak tanıyan hızlı ve çok amaçlı bir HTTP araç takımıdır; artan iş parçacıklarıyla sonuç güvenilirliğini korumak için tasarlanmıştır.
fingerprintx - parmak izix, diğer popüler hata ödül komut satırı araçlarıyla iyi çalışan, açık bağlantı noktalarında hizmet keşfi için bağımsız bir yardımcı programdır.
İçerik Keşfi (keşif)
gobuster - Go'da yazılmış Dizin/Dosya, DNS ve VHost bozma aracı
recursebuster - web sunucularını yinelemeli olarak sorgulamak için hızlı içerik keşif aracı, pentest ve web uygulaması değerlendirmelerinde kullanışlıdır
feroxbuster - Rust'ta yazılmış hızlı, basit, özyinelemeli bir içerik keşif aracı.
dirsearch - Web yolu tarayıcısı
dirsearch - Dirsearch'ün Go uygulaması.
filebuster - Son derece hızlı ve esnek bir web fuzzer
dirstalk - Dirbuster/dirb'e modern alternatif
dirbuster-ng - dirbuster-ng, Java dirbuster aracının C CLI uygulamasıdır
gospider - Gospider - Go'da yazılmış hızlı web örümceği
hakrawler - Bir web uygulaması içindeki uç noktaların ve varlıkların kolay ve hızlı bir şekilde keşfedilmesi için tasarlanmış basit, hızlı web tarayıcısı
crawley - Golang'da yazılmış hızlı, zengin özelliklere sahip unix yönlü web kazıyıcı/tarayıcı.
Bağlantılar (keşif)
LinkFinder - JavaScript dosyalarındaki uç noktaları bulan bir python betiği
JS-Scan - php'de yerleşik bir .js tarayıcı. URL'leri ve diğer bilgileri kazımak için tasarlandı
LinksDumper - Yanıtlardan (bağlantılar/olası uç noktalar) ayıklayın ve bunları kod çözme/sıralama yoluyla filtreleyin
GoLinkFinder - Hızlı ve minimal bir JS uç nokta çıkarıcı
BurpJSLinkFinder - Uç nokta bağlantıları için JS dosyalarını pasif olarak tarayan Burp Uzantısı.
urlgrab - Bir web sitesinde ek bağlantılar arayarak gezinmek için kullanılan bir golang yardımcı programı.
waybackurls - Wayback Machine'in bir alan adı için bildiği tüm URL'leri getirir
gau - AlienVault'un Açık Tehdit Değişimi, Wayback Makinesi ve Ortak Tarama'dan bilinen URL'leri alın.
getJS - Tüm javascript kaynaklarını/dosyalarını hızlı bir şekilde almak için bir araç
linx - JavaScript dosyalarındaki görünmez bağlantıları ortaya çıkarır.
Parametreler (keşif)
parameth - Bu araç GET ve POST parametrelerini kabaca keşfetmek için kullanılabilir
param-miner - Bu uzantı gizli, bağlantısız parametreleri tanımlar. Özellikle web önbellek zehirlenmesi güvenlik açıklarını bulmak için kullanışlıdır.
ParamPamPam - GET ve POST parametrelerinin kaba keşfi için bu araç.
Arjun - HTTP parametre keşif paketi.
ParamSpider - Web Arşivlerinin karanlık köşelerinden madencilik parametreleri.
x8 - Rust'ta yazılmış gizli parametreler keşif paketi.
Tüyler Ürpertici (keşif)
wfuzz - Web uygulaması fuzzer'ı
ffuf - Go'da yazılmış hızlı web fuzzer
fuzzdb - Kara kutu uygulama hatası ekleme ve kaynak keşfi için saldırı modelleri ve temel öğeler sözlüğü.
IntruderPayloads - Burpsuite Intruder yükleri, BurpBounty yükleri, fuzz listeleri, kötü amaçlı dosya yüklemeleri ve web sızma testi metodolojileri ve kontrol listelerinden oluşan bir koleksiyon.
fuzz.txt - Potansiyel olarak tehlikeli dosyalar
fuzzilli - Bir JavaScript Motoru Fuzzer
fuzzapi - Fuzzapi, REST API pentesti için kullanılan bir araçtır ve API_Fuzzer gem'i kullanır
qsfuzz - qsfuzz (Query String Fuzz), sorgu dizelerini bulanıklaştırmak ve güvenlik açıklarını kolayca belirlemek için kendi kurallarınızı oluşturmanıza olanak tanır.
vaf - Nim'de yazılmış çok gelişmiş (web) fuzzer.
Sömürü Bölümü
Komut Enjeksiyonu (Sömürü)
commix - Otomatik Hepsi Bir Arada İşletim Sistemi komut ekleme ve kullanma aracı.
Cors Yanlış Yapılandırma (Sömürü)
Corsy - CORS Yanlış Yapılandırma Tarayıcısı
CORStest - Basit bir CORS yanlış yapılandırma tarayıcısı
cors-scanner - CORS kusurlarını/yanlış yapılandırmalarını tanımlamaya yardımcı olan çok iş parçacıklı bir tarayıcı
CorsMe - Çapraz Kaynak Paylaşımı Yanlış Yapılandırma Tarayıcısı
CRLF Enjeksiyonu (Sömürü)
CRLFsuite - CRLF enjeksiyonunu taramak için özel olarak tasarlanmış hızlı bir araç
crlfuzz - Go'da yazılmış CRLF güvenlik açığını taramak için hızlı bir araç
CRLF-Injection-Scanner - Bir etki alanları listesinde CRLF enjeksiyonunu test etmek için komut satırı aracı.
Injectus - CRLF ve açık yönlendirme fuzzer'ı
CSRF Enjeksiyonu (Sömürü)
XSRFProbe - Prime Siteler Arası Talep Sahteciliği (CSRF) Denetim ve Suistimal Araç Seti.
Dizin Gezisi (Sömürü)
dotdotpwn - DotDotPwn - Dizin Geçiş Fuzzer'ı
FDsploit - Dosya Ekleme ve Dizin Geçişi bulanıklaştırma, numaralandırma ve yararlanma aracı.
off-by-slash - Ölçekte NGINX yanlış yapılandırması yoluyla takma ad geçişini tespit etmek için Burp uzantısı.
liffier - olası yol geçişinize manuel olarak nokta-nokta-eğik çizgi eklemekten bıktınız mı? bu kısa kod parçası URL'de ../ değerini artıracaktır.
Dosya Ekleme (Sömürü)
liffy - Yerel dosya ekleme aracı
Burp-LFI-tests - Burpsuite kullanarak LFI için bulanıklaştırma
LFI-Enum - LFI aracılığıyla numaralandırmayı yürütmek için komut dosyaları
LFISuite - Tamamen Otomatik LFI Exploiter (+ Ters Kabuk) ve Tarayıcı
LFI-files - LFI için bruteforce'a yönelik kelime listesi
GraphQL Enjeksiyonu (Sömürü)
inql - InQL - GraphQL Güvenlik Testi için Bir Burp Uzantısı
GraphQLmap - GraphQLmap, pentest amacıyla graphql uç noktasıyla etkileşime giren bir komut dosyası motorudur.
shapeshifter - GraphQL güvenlik test aracı
graphql_beautifier - Graphql isteğini daha okunabilir hale getirmeye yardımcı olan Burp Suite uzantısı
clairvoyance - Engelli iç gözleme rağmen GraphQL API şemasını edinin!
Başlık Enjeksiyonu (Sömürü)
headi - Özelleştirilebilir ve otomatikleştirilmiş HTTP başlık enjeksiyonu.
Güvenli Olmayan Seriden Çıkarma (Sömürü)
ysoserial - Güvenli olmayan Java nesnesinin seri durumdan çıkarılmasından yararlanan yükler oluşturmaya yönelik bir kavram kanıtlama aracı.
GadgetProbe - Uzak Java sınıf yollarındaki sınıfları, kitaplıkları ve kitaplık sürümlerini tanımlamak için Java serileştirilmiş nesnelerini tüketen uç noktaları araştırın.
ysoserial.net - Çeşitli .NET formatlayıcıları için seri durumdan çıkarma veri yükü oluşturucu
phpggc - PHPGGC, PHP unserialize() yüklerinden oluşan bir kitaplıktır ve bunları komut satırından veya programlı olarak oluşturmak için bir araçtır.
Güvenli Olmayan Doğrudan Nesne Referansları (Sömürü)
Autorize - Barak Tawily tarafından geliştirilen, Jython'da yazılmış geğirme paketi için otomatik yetkilendirme zorlama algılama uzantısı
Yönlendirme Araçları (Sömürü)
Oralyzer - Yönlendirme Analiz Cihazını Aç
Injectus - CRLF ve açık yönlendirme fuzzer'ı
dom-red - Açık yönlendirme güvenlik açığına karşı alan adlarının listesini kontrol etmek için küçük komut dosyası
OpenRedireX - OpenRedirect sorunları için bir Fuzzer
Yarış Kondisyonu (Sömürü)
razzer - Yarış hatalarına odaklanan bir Çekirdek fuzzer
racepwn - Yarış Durumu çerçevesi
requests-racer - İstekler ile web uygulamalarındaki yarış koşullarından yararlanmayı kolaylaştıran küçük Python kitaplığı.
turbo-intruder - Turbo Intruder, çok sayıda HTTP isteği göndermek ve sonuçları analiz etmek için kullanılan bir Burp Suite uzantısıdır.
race-the-web - Web uygulamalarındaki yarış koşulları için testler. Sürekli entegrasyon hattına entegre olmak için bir RESTful API içerir.
Kaçakçılık Talebi (Sömürü)
http-request-smuggling - HTTP İsteği Kaçakçılığı Tespit Aracı
smuggler - Kaçakçı - Python 3'te yazılmış bir HTTP İsteği Kaçakçılığı / Desync test aracı
h2csmuggler - HTTP/2 Şeffaf Metin Üzerinden HTTP İsteği Kaçakçılığı (h2c)
tiscripts - CLTE ve TECL tarzı saldırılar için İstek Kaçakçılığı Desync verileri oluşturmak için kullandığım bu komut dosyaları.
Sunucu Tarafı İstek Sahteciliği (Sömürü)
SSRFmap - Otomatik SSRF fuzzer ve yararlanma aracı
Gopherus - Bu araç, SSRF'den yararlanmak ve çeşitli sunucularda RCE kazanmak için gopher bağlantısı oluşturur
ground-control - Web sunucumda çalışan komut dosyaları koleksiyonu. Temel olarak SSRF, kör XSS ve XXE güvenlik açıklarında hata ayıklamak için.
SSRFire - Otomatik bir SSRF bulucu. Sadece alan adını ve sunucunuzu verin ve sakin olun!
Ayrıca XSS bulma ve yönlendirmeleri açma seçenekleri de vardır
httprebind - DNS yeniden bağlama tabanlı SSRF saldırıları için otomatik araç
ssrf-sheriff - Go'da yazılmış basit bir SSRF testi şerif
B-XSSRF - Kör XSS, XXE ve SSRF'yi tespit etmek ve takip etmek için araç seti
extended-ssrf-search - Gönderide parametre kaba zorlama gibi farklı yöntemler kullanan akıllı ssrf tarayıcı ve ...
gaussrf - AlienVault'un Açık Tehdit Değişimi'nden, Wayback Makinesi'nden ve OpenRedirection veya SSRF Parametreleriyle Ortak Tarama ve Filtreleme URL'lerinden bilinen URL'leri alın.
ssrfDetector - Sunucu tarafı istek sahteciliği dedektörü
grafana-ssrf - Grafana'da kimliği doğrulanmış SSRF
sentrySSRF - Sayfada veya javascript dosyalarında sentry yapılandırmasını aramak ve kör SSRF'yi kontrol etmek için kullanılan araç
lorsrf - GET ve POST Yöntemlerini kullanarak SSRF güvenlik açığını bulmak için Gizli parametreler üzerinde Bruteforce uygulaması
singularity - Bir DNS yeniden bağlama saldırı çerçevesi.
whonow - DNS Yeniden Bağlama saldırılarını anında yürütmek için "kötü amaçlı" bir DNS sunucusu (rebind.network üzerinde çalışan genel örnek:53)
dns-rebind-toolkit - DNS yeniden bağlama saldırıları oluşturmaya yönelik bir ön uç JavaScript araç seti.
dref - DNS Yeniden Bağlama Kullanım Çerçevesi
rbndr - Basit DNS Yeniden Bağlama Hizmeti
httprebind - DNS yeniden bağlama tabanlı SSRF saldırıları için otomatik araç
dnsFookup - DNS yeniden bağlama araç seti
SQL Enjeksiyonu (Sömürü)
sqlmap - Otomatik SQL enjeksiyonu ve veritabanı devralma aracı
NoSQLMap - Otomatik NoSQL veritabanı numaralandırma ve web uygulamasından yararlanma aracı.
SQLiScanner - Charles ve sqlmap API ile otomatik SQL enjeksiyonu
SleuthQL - Potansiyel SQL enjeksiyon noktalarını keşfetmek için Python3 Burp Geçmişi ayrıştırma aracı. SQLmap ile birlikte kullanılacaktır.
mssqlproxy - mssqlproxy, soketin yeniden kullanılması yoluyla güvenliği ihlal edilmiş bir Microsoft SQL Server aracılığıyla kısıtlı ortamlarda yanal hareket gerçekleştirmeyi amaçlayan bir araç setidir
sqli-hunter - SQLi-Hunter, basit bir HTTP / HTTPS proxy sunucusu ve SQLi'yi kazmayı kolaylaştıran bir SQLMAP API sarmalayıcısıdır.
waybackSqliScanner - Wayback makinesinden URL'leri toplayın ve ardından her GET parametresini sql enjeksiyonu için test edin.
ESC - Evil SQL Client (ESC), gelişmiş SQL Server keşif, erişim ve veri sızdırma özelliklerine sahip etkileşimli bir .NET SQL konsol istemcisidir.
mssqli-duet - Etki alanı kullanıcılarını RID kaba kuvvetlendirmeye dayalı bir Active Directory ortamından çıkaran MSSQL için SQL enjeksiyon komut dosyası
burp-to-sqlmap - SQLMap kullanarak Burp Suite Toplu İsteklerinde SQLInjection testi gerçekleştiriliyor
BurpSQLTruncSanner - SQL Kesme güvenlik açıkları için Dağınık BurpSuite eklentisi.
andor - Golang ile Kör SQL Enjeksiyon Aracı
Blinder - Zamana dayalı kör SQL enjeksiyonunu otomatikleştirmek için bir python kütüphanesi
sqliv - devasa SQL enjeksiyon güvenlik açığı tarayıcısı
nosqli - MongoDB kullanarak savunmasız web sitelerini bulmak için NoSql Enjeksiyon CLI aracı.
XSS Enjeksiyonu (Sömürü)
XSStrike - En gelişmiş XSS tarayıcı.
xssor2 - XSS'OR - JavaScript ile hackleyin.
xsscrapy - XSS örümceği - 66/66 wavsep XSS algılandı
sleepy-puppy - Sleepy Puppy XSS Yükü Yönetim Çerçevesi
ezXSS - ezXSS, penetrasyon testçileri ve hata ödül avcıları için Siteler Arası Komut Dosyasını (kör) test etmenin kolay bir yoludur.
xsshunter - XSS Avcısı hizmeti - XSSHunter.com'un taşınabilir bir sürümü
dalfox - DalFox(XSS Bulucu) / Golang'a dayalı Parametre Analizi ve XSS Tarama aracı
xsser - Siteler Arası "Scripter" (aka XSSer), web tabanlı uygulamalardaki XSS açıklarını tespit etmek, kullanmak ve raporlamak için kullanılan otomatik bir çerçevedir.
XSpear - Güçlü XSS Tarama ve Parametre analiz aracı ve mücevheri
weaponised-XSS-payloads - Uyarıyı(1) P1'e dönüştürmek için tasarlanmış XSS yükleri
tracy - Bir web uygulamasının tüm havuzlarını ve kaynaklarını bulmaya yardımcı olmak ve bu sonuçları sindirilebilir bir şekilde görüntülemek için tasarlanmış bir araç.
ground-control - Web sunucumda çalışan komut dosyaları koleksiyonu. Temel olarak SSRF, kör XSS ve XXE güvenlik açıklarında hata ayıklamak için.
xssValidator - Bu, XSS güvenlik açıklarının otomasyonu ve doğrulanması için tasarlanmış bir geğirme davetsiz misafir genişleticisidir.
JSShell - Etkileşimli, çok kullanıcılı bir web JS kabuğu
bXSS - bXSS, hata avcıları ve kuruluşlar tarafından Kör Siteler Arası Komut Dosyası Çalıştırmayı tanımlamak için kullanılabilecek bir yardımcı programdır.
docem - XXE ve XSS veri yüklerini docx, odt, pptx, vb.'ye yerleştirme yardımcı programı (steroidlerde OXML_XEE)
XSS-Radar - XSS Radar, parametreleri algılayan ve siteler arası komut dosyası çalıştırma güvenlik açıklarına karşı bunları düzelten bir araçtır.
BruteXSS - BruteXSS, web uygulamasındaki XSS açıklarını bulmak için python ile yazılmış bir araçtır.
findom-xss - Basit, hızlı bir DOM tabanlı XSS güvenlik açığı tarayıcısı.
domdig - Tek Sayfa Uygulamaları için DOM XSS tarayıcı
femida - Burp Suite için otomatik kör xss araması
B-XSSRF - Kör XSS, XXE ve SSRF'yi tespit etmek ve takip etmek için araç seti
domxssscanner - DOMXSS Tarayıcı, DOM tabanlı XSS güvenlik açıklarına karşı kaynak kodunu tarayan çevrimiçi bir araçtır
xsshunter_client - XSS Hunter için ilişkili enjeksiyon proxy aracı
extended-xss-search - xssfinder aracımın daha iyi bir sürümü - bir URL listesinde farklı xss türlerini tarar.
xssmap - XSSMap Python3'ü destekler XSS'yi destekler
XSSCon - XSSCon: Basit XSS Tarayıcı aracı
BitBlinder - Kör XSS güvenlik açıklarını tespit etmek için gönderilen her form/isteğe özel siteler arası komut dosyası oluşturma yükleri eklemek için BurpSuite uzantısı
XSSOauthPersistence - XSS ve Oauth aracılığıyla hesabın kalıcılığını koruma
shadow-workers - Shadow Workers, XSS ve kötü niyetli Hizmet Çalışanlarının (SW) kötüye kullanılmasına yardımcı olmak üzere penetrasyon test uzmanları için tasarlanmış ücretsiz ve açık kaynaklı bir C2 ve proxy'dir.
rexsser - Bu, normal ifadeleri kullanarak yanıttan anahtar kelimeleri çıkaran ve hedef kapsamda yansıtılan XSS'yi test eden bir geğirme eklentisidir.
xss-flare - Cloudflare sunucusuz çalışanlar üzerinde XSS avcısı.
vaya-ciego-nen - Kör Siteler Arası Komut Dosyası (XSS) güvenlik açıklarını tespit edin, yönetin ve kullanın.
dom-based-xss-finder - DOM tabanlı XSS güvenlik açıklarını bulan Chrome uzantısı
XSSTerminal - Etkileşimli yazmayı kullanarak kendi XSS Yükünüzü geliştirin
xss2png - PNG IDAT, XSS yük oluşturucuyu parçalar
XSSwagger - Çeşitli XSS saldırılarına karşı savunmasız olan eski sürümleri tespit edebilen basit bir Swagger-ui tarayıcı
XEE Enjeksiyonu (Sömürü)
ground-control - Web sunucumda çalışan komut dosyaları koleksiyonu. Temel olarak SSRF, kör XSS ve XXE güvenlik açıklarında hata ayıklamak için.
dtd-finder - DTD'leri listeleyin ve bu yerel DTD'leri kullanarak XXE yükleri oluşturun.
docem - XXE ve XSS veri yüklerini docx, odt, pptx, vb.'ye yerleştirme yardımcı programı (steroidlerde OXML_XEE)
xxeserv - XXE verileri için FTP desteğine sahip mini bir web sunucusu
xxexploiter - XXE güvenlik açıklarından yararlanmaya yardımcı olacak araç
B-XSSRF - Kör XSS, XXE ve SSRF'yi tespit etmek ve takip etmek için araç seti
XXEinjector - Doğrudan ve farklı bant dışı yöntemler kullanılarak XXE güvenlik açığından otomatik olarak yararlanmaya yönelik araç.
oxml_xxe - XXE/XML istismarlarını farklı dosya türlerine yerleştirmek için bir araç
metahttp - XXE aracılığıyla hedef ağın HTTP kaynakları için taranmasını otomatikleştiren bir bash betiği
Şifreler
thc-hydra - Hydra, saldırı için çok sayıda protokolü destekleyen paralelleştirilmiş bir oturum açma korsanıdır.
DefaultCreds-cheat-sheet - Mavi/Kırmızı ekip üyelerinin varsayılan parolaya sahip cihazları bulma etkinliklerine yardımcı olacak tüm varsayılan kimlik bilgileri için tek yer
changeme - Varsayılan bir kimlik bilgisi tarayıcısı.
BruteX - Bir hedef üzerinde çalışan tüm hizmetleri otomatik olarak kaba kuvvetle zorlayın.
patator - Patator, modüler tasarıma ve esnek kullanıma sahip, çok amaçlı bir kaba kuvvet aracıdır.
Sırlar
git-secrets - Sırları ve kimlik bilgilerini git depolarına aktarmanızı engeller
gitleaks - Regex ve entropi kullanarak git depolarını (veya dosyalarını) sırlar için tarayın
truffleHog - Yüksek entropili dizeler ve sırlar için git depolarında arama yaparak taahhüt geçmişinin derinliklerine iner
gitGraber - gitGraber: Farklı çevrimiçi hizmetler için hassas verileri gerçek zamanlı olarak aramak ve bulmak için GitHub'u izleyin
talisman - Talisman, Git tarafından sağlanan ön itme kancasına bağlanarak, yetkilendirme belirteçleri ve özel anahtarlar gibi şüpheli görünen şeyler için giden değişiklik kümesini doğrular.
GitGot - GitHub'daki halka açık veri hazinelerinde hassas sırları hızlı bir şekilde aramak için yarı otomatik, geri bildirim odaklı araç.
git-all-secrets - Birden fazla açık kaynaklı git arama aracından yararlanarak tüm git sırlarını yakalayan bir araç
github-search - GitHub'da temel aramayı gerçekleştirmeye yönelik araçlar.
git-vuln-finder - Git taahhüt mesajlarından potansiyel yazılım açıklarını bulma
commit-stream - Github olay API'sinden gerçek zamanlı olarak taahhüt günlüklerini çıkararak Github depolarını bulmak için #OSINT aracı
gitrob - GitHub kuruluşları için keşif aracı
repo-supervisor - Kodunuzu yanlış güvenlik yapılandırmasına karşı tarayın, şifreleri ve sırları arayın.
GitMiner - Github'daki içerik için gelişmiş madencilik aracı
shhgit - Ah şşşt! GitHub sırlarını gerçek zamanlı olarak bulun
detect-secrets - Koddaki sırları tespit etmenin ve önlemenin kurumsal dostu bir yolu.
rusty-hog - Performans için Rust'ta yerleşik bir gizli tarayıcı paketi. TruffleHog'a dayanmaktadır
whispers - Sabit kodlanmış sırları ve tehlikeli davranışları belirleyin
yar - Yar, kuruluşları, kullanıcıları ve/veya depoları yağmalamaya yönelik bir araçtır.
dufflebag - Gizli bilgiler için açığa çıkan EBS birimlerinde arama yapın
secret-bridge - Github'u sızdırılan sırlara karşı izler
earlybird - EarlyBird, açık metin şifre ihlalleri, PII, güncel olmayan şifreleme yöntemleri, anahtar dosyalar ve daha fazlası için kaynak kodu depolarını tarayabilen hassas bir veri algılama aracıdır.
Trufflehog-Chrome-Extension - Trufflehog-Krom-Uzantısı
noseyparker - Nosy Parker, metin verileri ve Git geçmişindeki sırları ve hassas bilgileri bulan bir komut satırı programıdır.
Okuduğunuz için Teşekkür Ederim
Konunun Devamı Bu Linktedir.
2-bolum
Bugün sizlere Hacking ve Savunma sistemleri ile ilgili içeren github'daki bütün toolları sundum.
umarım işinize yarar
Saygılarımı sunar iyi forumlar dilerim.
Bölüm 2 Linki:
2.bölüm
(Bu Konuyu Beğenerek bana Destek olabilirsiniz)
Keşif Bölümü
Alt Alan Adı Numaralandırma (keşif)
Sublist3r - Penetrasyon testçileri için hızlı alt alan numaralandırma aracı
Amass - Derinlemesine Saldırı Yüzey Haritalaması ve Varlık Keşfi
MassDns - Toplu aramalar ve keşif için yüksek performanslı bir DNS saplama çözümleyicisi (alt alan adı numaralandırması)
Findomain - En hızlı ve platformlar arası alt alan numaralandırıcı, zamanınızı boşa harcamayın.
Sudomy - Sudomy, alt alanları toplamak ve hata avı / sızma testi için otomatik keşif (keşif) gerçekleştiren alanları analiz etmek için bir alt alan adı numaralandırma aracıdır
kaos-istemci - Kaos DNS API'si ile iletişim kurmak için istemciye gidin.
Domained - Çoklu Araç Alt Etki Alanı Numaralandırması
bugcrowd-levelup-subdomain-enumeration - Bu depo, Bugcrowd LevelUp 2017 sanal konferansında verilen "Ezoterik alt alan numaralandırma teknikleri" konuşmasındaki tüm materyali içerir
shuffledns - shuffleDNS, go'da yazılmış massdns'in etrafındaki bir sarıcıdır; bu, aktif kaba kuvvet kullanarak geçerli alt alan adlarını numaralandırmanıza ve aynı zamanda joker karakter kullanımı ve kolay giriş-çıkış ile alt alan adlarını çözümlemenize olanak tanır…
censys-subdomain-finder - Censys'in sertifika şeffaflık günlüklerini kullanarak alt alan adı numaralandırmasını gerçekleştirir.
Turbolist3r - Keşfedilen alanlar için analiz özelliklerine sahip alt alan adı numaralandırma aracı
censys-enumeration - Censys'te SSL/TLS sertifika veri kümesini kullanarak belirli bir alan adı için alt alan adlarını/e-postaları çıkarmaya yönelik bir komut dosyası
tugarecon - Penetrasyon testçileri için hızlı alt alan numaralandırma aracı.
as3nt - Başka bir Alt Alan Adı Numaralandırma Aracı
Subra - Alt alan adı numaralandırması için bir Web-UI (alt bulucu)
Substr3am - Verilen SSL sertifikalarını izleyerek ilginç hedeflerin pasif keşfi/sayılanması
Etki Alanı - enumall.py Regon-ng için kurulum komut dosyası
altdns - Alt alan adlarının permütasyonlarını, değişikliklerini ve mutasyonlarını oluşturur ve ardından bunları çözer
brutesubs - Docker Compose aracılığıyla kendi kelime listelerinizi kullanarak birden fazla açık kaynaklı alt alan adı bruteforcing aracını (paralel olarak) çalıştırmak için bir otomasyon çerçevesi
dns-parallel-prober - onunki, belirli bir alanın mümkün olduğunca hızlı bir şekilde çok sayıda alt alanını bulmak için paralelleştirilmiş bir alan adı araştırıcısıdır.
dnscan - dnscan, python kelime listesi tabanlı bir DNS alt alan tarayıcısıdır.
knock - Knockpy, bir hedef etki alanındaki alt etki alanlarını bir kelime listesi aracılığıyla numaralandırmak için tasarlanmış bir python aracıdır.
hakrevdns - Toplu halde ters DNS aramaları gerçekleştirmek için küçük, hızlı bir araç.
dnsx - Dnsx, kullanıcı tarafından sağlanan çözümleyicilerin bir listesiyle seçtiğiniz birden fazla DNS sorgusunu çalıştırmanıza olanak tanıyan hızlı ve çok amaçlı bir DNS araç setidir.
subfinder - Subfinder, web siteleri için geçerli alt alan adlarını keşfeden bir alt alan adı keşif aracıdır.
assetfinder - Belirli bir alanla ilgili alanları ve alt alanları bulun
crtndstry - Başka bir alt alan adı bulucu
VHostScan - Geriye doğru aramalar gerçekleştiren bir sanal ana bilgisayar tarayıcısı
scilla - Bilgi Toplama aracı - DNS / Alt Etki Alanları / Bağlantı Noktaları / Dizinlerin numaralandırılması
sub3suite - Alt etki alanı numaralandırması, istihbarat toplama ve saldırı yüzeyi haritalaması için araştırma düzeyinde bir araç paketi.
cero - Rastgele ana bilgisayarların SSL sertifikalarından alan adlarını kazıyın.
Bağlantı Noktası Tarama (keşif)
masscan - TCP bağlantı noktası tarayıcısı, SYN paketlerini eşzamansız olarak yayar ve tüm İnternet'i 5 dakikadan kısa sürede tarar.
RustScan - Modern Bağlantı Noktası Tarayıcısı
naabu - Güvenilirlik ve basitliğe odaklanılarak go ile yazılmış hızlı bir bağlantı noktası tarayıcısı.
nmap - Nmap - Ağ Eşleyicisi. Resmi SVN deposunun Github aynası.
sandmap - Steroidler üzerinde Nmap. Saf Nmap motorunu çalıştırma yeteneğine sahip basit CLI, 459 tarama profiline sahip 31 modül.
ScanCannon - Masscan hızını nmap'in güvenilirliği ve ayrıntılı numaralandırmasıyla birleştirir.
Ekran Görüntüleme (keşif)
EyeWitness - EyeWitness, web sitelerinin ekran görüntülerini almak, bazı sunucu başlık bilgilerini sağlamak ve mümkünse varsayılan kimlik bilgilerini belirlemek için tasarlanmıştır.
aquatone - Aquatone, çok sayıda ana bilgisayardaki web sitelerinin görsel olarak incelenmesine yönelik bir araçtır ve HTTP tabanlı saldırı yüzeyine hızlı bir şekilde genel bakış elde etmek için kullanışlıdır.
screenshoteer - Komut satırından web sitesi ekran görüntüleri ve mobil emülasyonlar oluşturun.
gowitness - gowitness - Chrome Headless'ı kullanan bir golang, web ekran görüntüsü yardımcı programı
WitnessMe - Web Envanteri aracı, Pyppeteer (başsız Chrome/Chromium) kullanarak web sayfalarının ekran görüntülerini alır ve hayatı kolaylaştırmak için bazı ekstra özellikler sağlar.
eyeballer - Pentest ekran görüntülerini analiz etmek için evrişimli sinir ağı
scrying - RDP, web ve VNC ekran görüntülerini tek bir yerde toplamak için bir araç
Depix - Pikselleştirilmiş ekran görüntülerinden şifreleri kurtarır
httpscreenshot - HTTPScreenshot, çok sayıda web sitesinin ekran görüntülerini ve HTML'sini almaya yönelik bir araçtır.
Teknolojileri (keşif)
wappalyzer - Web sitelerindeki teknolojiyi tanımlayın.
webanalyze - Toplu taramayı otomatikleştirmek için Wappalyzer Limanı (web sitelerinde kullanılan teknolojileri ortaya çıkarır).
python-builtwith - BuildWith API istemcisi
whatweb - Yeni nesil web tarayıcısı
RetireJS - bilinen güvenlik açıklarına sahip JavaScript kitaplıklarının kullanımını tespit eden tarayıcı
httpx - httpx, yeniden denenebilir http kitaplığını kullanarak birden fazla probun çalıştırılmasına olanak tanıyan hızlı ve çok amaçlı bir HTTP araç takımıdır; artan iş parçacıklarıyla sonuç güvenilirliğini korumak için tasarlanmıştır.
fingerprintx - parmak izix, diğer popüler hata ödül komut satırı araçlarıyla iyi çalışan, açık bağlantı noktalarında hizmet keşfi için bağımsız bir yardımcı programdır.
İçerik Keşfi (keşif)
gobuster - Go'da yazılmış Dizin/Dosya, DNS ve VHost bozma aracı
recursebuster - web sunucularını yinelemeli olarak sorgulamak için hızlı içerik keşif aracı, pentest ve web uygulaması değerlendirmelerinde kullanışlıdır
feroxbuster - Rust'ta yazılmış hızlı, basit, özyinelemeli bir içerik keşif aracı.
dirsearch - Web yolu tarayıcısı
dirsearch - Dirsearch'ün Go uygulaması.
filebuster - Son derece hızlı ve esnek bir web fuzzer
dirstalk - Dirbuster/dirb'e modern alternatif
dirbuster-ng - dirbuster-ng, Java dirbuster aracının C CLI uygulamasıdır
gospider - Gospider - Go'da yazılmış hızlı web örümceği
hakrawler - Bir web uygulaması içindeki uç noktaların ve varlıkların kolay ve hızlı bir şekilde keşfedilmesi için tasarlanmış basit, hızlı web tarayıcısı
crawley - Golang'da yazılmış hızlı, zengin özelliklere sahip unix yönlü web kazıyıcı/tarayıcı.
Bağlantılar (keşif)
LinkFinder - JavaScript dosyalarındaki uç noktaları bulan bir python betiği
JS-Scan - php'de yerleşik bir .js tarayıcı. URL'leri ve diğer bilgileri kazımak için tasarlandı
LinksDumper - Yanıtlardan (bağlantılar/olası uç noktalar) ayıklayın ve bunları kod çözme/sıralama yoluyla filtreleyin
GoLinkFinder - Hızlı ve minimal bir JS uç nokta çıkarıcı
BurpJSLinkFinder - Uç nokta bağlantıları için JS dosyalarını pasif olarak tarayan Burp Uzantısı.
urlgrab - Bir web sitesinde ek bağlantılar arayarak gezinmek için kullanılan bir golang yardımcı programı.
waybackurls - Wayback Machine'in bir alan adı için bildiği tüm URL'leri getirir
gau - AlienVault'un Açık Tehdit Değişimi, Wayback Makinesi ve Ortak Tarama'dan bilinen URL'leri alın.
getJS - Tüm javascript kaynaklarını/dosyalarını hızlı bir şekilde almak için bir araç
linx - JavaScript dosyalarındaki görünmez bağlantıları ortaya çıkarır.
Parametreler (keşif)
parameth - Bu araç GET ve POST parametrelerini kabaca keşfetmek için kullanılabilir
param-miner - Bu uzantı gizli, bağlantısız parametreleri tanımlar. Özellikle web önbellek zehirlenmesi güvenlik açıklarını bulmak için kullanışlıdır.
ParamPamPam - GET ve POST parametrelerinin kaba keşfi için bu araç.
Arjun - HTTP parametre keşif paketi.
ParamSpider - Web Arşivlerinin karanlık köşelerinden madencilik parametreleri.
x8 - Rust'ta yazılmış gizli parametreler keşif paketi.
Tüyler Ürpertici (keşif)
wfuzz - Web uygulaması fuzzer'ı
ffuf - Go'da yazılmış hızlı web fuzzer
fuzzdb - Kara kutu uygulama hatası ekleme ve kaynak keşfi için saldırı modelleri ve temel öğeler sözlüğü.
IntruderPayloads - Burpsuite Intruder yükleri, BurpBounty yükleri, fuzz listeleri, kötü amaçlı dosya yüklemeleri ve web sızma testi metodolojileri ve kontrol listelerinden oluşan bir koleksiyon.
fuzz.txt - Potansiyel olarak tehlikeli dosyalar
fuzzilli - Bir JavaScript Motoru Fuzzer
fuzzapi - Fuzzapi, REST API pentesti için kullanılan bir araçtır ve API_Fuzzer gem'i kullanır
qsfuzz - qsfuzz (Query String Fuzz), sorgu dizelerini bulanıklaştırmak ve güvenlik açıklarını kolayca belirlemek için kendi kurallarınızı oluşturmanıza olanak tanır.
vaf - Nim'de yazılmış çok gelişmiş (web) fuzzer.
Sömürü Bölümü
Komut Enjeksiyonu (Sömürü)
commix - Otomatik Hepsi Bir Arada İşletim Sistemi komut ekleme ve kullanma aracı.
Cors Yanlış Yapılandırma (Sömürü)
Corsy - CORS Yanlış Yapılandırma Tarayıcısı
CORStest - Basit bir CORS yanlış yapılandırma tarayıcısı
cors-scanner - CORS kusurlarını/yanlış yapılandırmalarını tanımlamaya yardımcı olan çok iş parçacıklı bir tarayıcı
CorsMe - Çapraz Kaynak Paylaşımı Yanlış Yapılandırma Tarayıcısı
CRLF Enjeksiyonu (Sömürü)
CRLFsuite - CRLF enjeksiyonunu taramak için özel olarak tasarlanmış hızlı bir araç
crlfuzz - Go'da yazılmış CRLF güvenlik açığını taramak için hızlı bir araç
CRLF-Injection-Scanner - Bir etki alanları listesinde CRLF enjeksiyonunu test etmek için komut satırı aracı.
Injectus - CRLF ve açık yönlendirme fuzzer'ı
CSRF Enjeksiyonu (Sömürü)
XSRFProbe - Prime Siteler Arası Talep Sahteciliği (CSRF) Denetim ve Suistimal Araç Seti.
Dizin Gezisi (Sömürü)
dotdotpwn - DotDotPwn - Dizin Geçiş Fuzzer'ı
FDsploit - Dosya Ekleme ve Dizin Geçişi bulanıklaştırma, numaralandırma ve yararlanma aracı.
off-by-slash - Ölçekte NGINX yanlış yapılandırması yoluyla takma ad geçişini tespit etmek için Burp uzantısı.
liffier - olası yol geçişinize manuel olarak nokta-nokta-eğik çizgi eklemekten bıktınız mı? bu kısa kod parçası URL'de ../ değerini artıracaktır.
Dosya Ekleme (Sömürü)
liffy - Yerel dosya ekleme aracı
Burp-LFI-tests - Burpsuite kullanarak LFI için bulanıklaştırma
LFI-Enum - LFI aracılığıyla numaralandırmayı yürütmek için komut dosyaları
LFISuite - Tamamen Otomatik LFI Exploiter (+ Ters Kabuk) ve Tarayıcı
LFI-files - LFI için bruteforce'a yönelik kelime listesi
GraphQL Enjeksiyonu (Sömürü)
inql - InQL - GraphQL Güvenlik Testi için Bir Burp Uzantısı
GraphQLmap - GraphQLmap, pentest amacıyla graphql uç noktasıyla etkileşime giren bir komut dosyası motorudur.
shapeshifter - GraphQL güvenlik test aracı
graphql_beautifier - Graphql isteğini daha okunabilir hale getirmeye yardımcı olan Burp Suite uzantısı
clairvoyance - Engelli iç gözleme rağmen GraphQL API şemasını edinin!
Başlık Enjeksiyonu (Sömürü)
headi - Özelleştirilebilir ve otomatikleştirilmiş HTTP başlık enjeksiyonu.
Güvenli Olmayan Seriden Çıkarma (Sömürü)
ysoserial - Güvenli olmayan Java nesnesinin seri durumdan çıkarılmasından yararlanan yükler oluşturmaya yönelik bir kavram kanıtlama aracı.
GadgetProbe - Uzak Java sınıf yollarındaki sınıfları, kitaplıkları ve kitaplık sürümlerini tanımlamak için Java serileştirilmiş nesnelerini tüketen uç noktaları araştırın.
ysoserial.net - Çeşitli .NET formatlayıcıları için seri durumdan çıkarma veri yükü oluşturucu
phpggc - PHPGGC, PHP unserialize() yüklerinden oluşan bir kitaplıktır ve bunları komut satırından veya programlı olarak oluşturmak için bir araçtır.
Güvenli Olmayan Doğrudan Nesne Referansları (Sömürü)
Autorize - Barak Tawily tarafından geliştirilen, Jython'da yazılmış geğirme paketi için otomatik yetkilendirme zorlama algılama uzantısı
Yönlendirme Araçları (Sömürü)
Oralyzer - Yönlendirme Analiz Cihazını Aç
Injectus - CRLF ve açık yönlendirme fuzzer'ı
dom-red - Açık yönlendirme güvenlik açığına karşı alan adlarının listesini kontrol etmek için küçük komut dosyası
OpenRedireX - OpenRedirect sorunları için bir Fuzzer
Yarış Kondisyonu (Sömürü)
razzer - Yarış hatalarına odaklanan bir Çekirdek fuzzer
racepwn - Yarış Durumu çerçevesi
requests-racer - İstekler ile web uygulamalarındaki yarış koşullarından yararlanmayı kolaylaştıran küçük Python kitaplığı.
turbo-intruder - Turbo Intruder, çok sayıda HTTP isteği göndermek ve sonuçları analiz etmek için kullanılan bir Burp Suite uzantısıdır.
race-the-web - Web uygulamalarındaki yarış koşulları için testler. Sürekli entegrasyon hattına entegre olmak için bir RESTful API içerir.
Kaçakçılık Talebi (Sömürü)
http-request-smuggling - HTTP İsteği Kaçakçılığı Tespit Aracı
smuggler - Kaçakçı - Python 3'te yazılmış bir HTTP İsteği Kaçakçılığı / Desync test aracı
h2csmuggler - HTTP/2 Şeffaf Metin Üzerinden HTTP İsteği Kaçakçılığı (h2c)
tiscripts - CLTE ve TECL tarzı saldırılar için İstek Kaçakçılığı Desync verileri oluşturmak için kullandığım bu komut dosyaları.
Sunucu Tarafı İstek Sahteciliği (Sömürü)
SSRFmap - Otomatik SSRF fuzzer ve yararlanma aracı
Gopherus - Bu araç, SSRF'den yararlanmak ve çeşitli sunucularda RCE kazanmak için gopher bağlantısı oluşturur
ground-control - Web sunucumda çalışan komut dosyaları koleksiyonu. Temel olarak SSRF, kör XSS ve XXE güvenlik açıklarında hata ayıklamak için.
SSRFire - Otomatik bir SSRF bulucu. Sadece alan adını ve sunucunuzu verin ve sakin olun!
Ayrıca XSS bulma ve yönlendirmeleri açma seçenekleri de vardırhttprebind - DNS yeniden bağlama tabanlı SSRF saldırıları için otomatik araç
ssrf-sheriff - Go'da yazılmış basit bir SSRF testi şerif
B-XSSRF - Kör XSS, XXE ve SSRF'yi tespit etmek ve takip etmek için araç seti
extended-ssrf-search - Gönderide parametre kaba zorlama gibi farklı yöntemler kullanan akıllı ssrf tarayıcı ve ...
gaussrf - AlienVault'un Açık Tehdit Değişimi'nden, Wayback Makinesi'nden ve OpenRedirection veya SSRF Parametreleriyle Ortak Tarama ve Filtreleme URL'lerinden bilinen URL'leri alın.
ssrfDetector - Sunucu tarafı istek sahteciliği dedektörü
grafana-ssrf - Grafana'da kimliği doğrulanmış SSRF
sentrySSRF - Sayfada veya javascript dosyalarında sentry yapılandırmasını aramak ve kör SSRF'yi kontrol etmek için kullanılan araç
lorsrf - GET ve POST Yöntemlerini kullanarak SSRF güvenlik açığını bulmak için Gizli parametreler üzerinde Bruteforce uygulaması
singularity - Bir DNS yeniden bağlama saldırı çerçevesi.
whonow - DNS Yeniden Bağlama saldırılarını anında yürütmek için "kötü amaçlı" bir DNS sunucusu (rebind.network üzerinde çalışan genel örnek:53)
dns-rebind-toolkit - DNS yeniden bağlama saldırıları oluşturmaya yönelik bir ön uç JavaScript araç seti.
dref - DNS Yeniden Bağlama Kullanım Çerçevesi
rbndr - Basit DNS Yeniden Bağlama Hizmeti
httprebind - DNS yeniden bağlama tabanlı SSRF saldırıları için otomatik araç
dnsFookup - DNS yeniden bağlama araç seti
SQL Enjeksiyonu (Sömürü)
sqlmap - Otomatik SQL enjeksiyonu ve veritabanı devralma aracı
NoSQLMap - Otomatik NoSQL veritabanı numaralandırma ve web uygulamasından yararlanma aracı.
SQLiScanner - Charles ve sqlmap API ile otomatik SQL enjeksiyonu
SleuthQL - Potansiyel SQL enjeksiyon noktalarını keşfetmek için Python3 Burp Geçmişi ayrıştırma aracı. SQLmap ile birlikte kullanılacaktır.
mssqlproxy - mssqlproxy, soketin yeniden kullanılması yoluyla güvenliği ihlal edilmiş bir Microsoft SQL Server aracılığıyla kısıtlı ortamlarda yanal hareket gerçekleştirmeyi amaçlayan bir araç setidir
sqli-hunter - SQLi-Hunter, basit bir HTTP / HTTPS proxy sunucusu ve SQLi'yi kazmayı kolaylaştıran bir SQLMAP API sarmalayıcısıdır.
waybackSqliScanner - Wayback makinesinden URL'leri toplayın ve ardından her GET parametresini sql enjeksiyonu için test edin.
ESC - Evil SQL Client (ESC), gelişmiş SQL Server keşif, erişim ve veri sızdırma özelliklerine sahip etkileşimli bir .NET SQL konsol istemcisidir.
mssqli-duet - Etki alanı kullanıcılarını RID kaba kuvvetlendirmeye dayalı bir Active Directory ortamından çıkaran MSSQL için SQL enjeksiyon komut dosyası
burp-to-sqlmap - SQLMap kullanarak Burp Suite Toplu İsteklerinde SQLInjection testi gerçekleştiriliyor
BurpSQLTruncSanner - SQL Kesme güvenlik açıkları için Dağınık BurpSuite eklentisi.
andor - Golang ile Kör SQL Enjeksiyon Aracı
Blinder - Zamana dayalı kör SQL enjeksiyonunu otomatikleştirmek için bir python kütüphanesi
sqliv - devasa SQL enjeksiyon güvenlik açığı tarayıcısı
nosqli - MongoDB kullanarak savunmasız web sitelerini bulmak için NoSql Enjeksiyon CLI aracı.
XSS Enjeksiyonu (Sömürü)
XSStrike - En gelişmiş XSS tarayıcı.
xssor2 - XSS'OR - JavaScript ile hackleyin.
xsscrapy - XSS örümceği - 66/66 wavsep XSS algılandı
sleepy-puppy - Sleepy Puppy XSS Yükü Yönetim Çerçevesi
ezXSS - ezXSS, penetrasyon testçileri ve hata ödül avcıları için Siteler Arası Komut Dosyasını (kör) test etmenin kolay bir yoludur.
xsshunter - XSS Avcısı hizmeti - XSSHunter.com'un taşınabilir bir sürümü
dalfox - DalFox(XSS Bulucu) / Golang'a dayalı Parametre Analizi ve XSS Tarama aracı
xsser - Siteler Arası "Scripter" (aka XSSer), web tabanlı uygulamalardaki XSS açıklarını tespit etmek, kullanmak ve raporlamak için kullanılan otomatik bir çerçevedir.
XSpear - Güçlü XSS Tarama ve Parametre analiz aracı ve mücevheri
weaponised-XSS-payloads - Uyarıyı(1) P1'e dönüştürmek için tasarlanmış XSS yükleri
tracy - Bir web uygulamasının tüm havuzlarını ve kaynaklarını bulmaya yardımcı olmak ve bu sonuçları sindirilebilir bir şekilde görüntülemek için tasarlanmış bir araç.
ground-control - Web sunucumda çalışan komut dosyaları koleksiyonu. Temel olarak SSRF, kör XSS ve XXE güvenlik açıklarında hata ayıklamak için.
xssValidator - Bu, XSS güvenlik açıklarının otomasyonu ve doğrulanması için tasarlanmış bir geğirme davetsiz misafir genişleticisidir.
JSShell - Etkileşimli, çok kullanıcılı bir web JS kabuğu
bXSS - bXSS, hata avcıları ve kuruluşlar tarafından Kör Siteler Arası Komut Dosyası Çalıştırmayı tanımlamak için kullanılabilecek bir yardımcı programdır.
docem - XXE ve XSS veri yüklerini docx, odt, pptx, vb.'ye yerleştirme yardımcı programı (steroidlerde OXML_XEE)
XSS-Radar - XSS Radar, parametreleri algılayan ve siteler arası komut dosyası çalıştırma güvenlik açıklarına karşı bunları düzelten bir araçtır.
BruteXSS - BruteXSS, web uygulamasındaki XSS açıklarını bulmak için python ile yazılmış bir araçtır.
findom-xss - Basit, hızlı bir DOM tabanlı XSS güvenlik açığı tarayıcısı.
domdig - Tek Sayfa Uygulamaları için DOM XSS tarayıcı
femida - Burp Suite için otomatik kör xss araması
B-XSSRF - Kör XSS, XXE ve SSRF'yi tespit etmek ve takip etmek için araç seti
domxssscanner - DOMXSS Tarayıcı, DOM tabanlı XSS güvenlik açıklarına karşı kaynak kodunu tarayan çevrimiçi bir araçtır
xsshunter_client - XSS Hunter için ilişkili enjeksiyon proxy aracı
extended-xss-search - xssfinder aracımın daha iyi bir sürümü - bir URL listesinde farklı xss türlerini tarar.
xssmap - XSSMap Python3'ü destekler XSS'yi destekler
XSSCon - XSSCon: Basit XSS Tarayıcı aracı
BitBlinder - Kör XSS güvenlik açıklarını tespit etmek için gönderilen her form/isteğe özel siteler arası komut dosyası oluşturma yükleri eklemek için BurpSuite uzantısı
XSSOauthPersistence - XSS ve Oauth aracılığıyla hesabın kalıcılığını koruma
shadow-workers - Shadow Workers, XSS ve kötü niyetli Hizmet Çalışanlarının (SW) kötüye kullanılmasına yardımcı olmak üzere penetrasyon test uzmanları için tasarlanmış ücretsiz ve açık kaynaklı bir C2 ve proxy'dir.
rexsser - Bu, normal ifadeleri kullanarak yanıttan anahtar kelimeleri çıkaran ve hedef kapsamda yansıtılan XSS'yi test eden bir geğirme eklentisidir.
xss-flare - Cloudflare sunucusuz çalışanlar üzerinde XSS avcısı.
vaya-ciego-nen - Kör Siteler Arası Komut Dosyası (XSS) güvenlik açıklarını tespit edin, yönetin ve kullanın.
dom-based-xss-finder - DOM tabanlı XSS güvenlik açıklarını bulan Chrome uzantısı
XSSTerminal - Etkileşimli yazmayı kullanarak kendi XSS Yükünüzü geliştirin
xss2png - PNG IDAT, XSS yük oluşturucuyu parçalar
XSSwagger - Çeşitli XSS saldırılarına karşı savunmasız olan eski sürümleri tespit edebilen basit bir Swagger-ui tarayıcı
XEE Enjeksiyonu (Sömürü)
ground-control - Web sunucumda çalışan komut dosyaları koleksiyonu. Temel olarak SSRF, kör XSS ve XXE güvenlik açıklarında hata ayıklamak için.
dtd-finder - DTD'leri listeleyin ve bu yerel DTD'leri kullanarak XXE yükleri oluşturun.
docem - XXE ve XSS veri yüklerini docx, odt, pptx, vb.'ye yerleştirme yardımcı programı (steroidlerde OXML_XEE)
xxeserv - XXE verileri için FTP desteğine sahip mini bir web sunucusu
xxexploiter - XXE güvenlik açıklarından yararlanmaya yardımcı olacak araç
B-XSSRF - Kör XSS, XXE ve SSRF'yi tespit etmek ve takip etmek için araç seti
XXEinjector - Doğrudan ve farklı bant dışı yöntemler kullanılarak XXE güvenlik açığından otomatik olarak yararlanmaya yönelik araç.
oxml_xxe - XXE/XML istismarlarını farklı dosya türlerine yerleştirmek için bir araç
metahttp - XXE aracılığıyla hedef ağın HTTP kaynakları için taranmasını otomatikleştiren bir bash betiği
Şifreler
thc-hydra - Hydra, saldırı için çok sayıda protokolü destekleyen paralelleştirilmiş bir oturum açma korsanıdır.
DefaultCreds-cheat-sheet - Mavi/Kırmızı ekip üyelerinin varsayılan parolaya sahip cihazları bulma etkinliklerine yardımcı olacak tüm varsayılan kimlik bilgileri için tek yer
changeme - Varsayılan bir kimlik bilgisi tarayıcısı.
BruteX - Bir hedef üzerinde çalışan tüm hizmetleri otomatik olarak kaba kuvvetle zorlayın.
patator - Patator, modüler tasarıma ve esnek kullanıma sahip, çok amaçlı bir kaba kuvvet aracıdır.
Sırlar
git-secrets - Sırları ve kimlik bilgilerini git depolarına aktarmanızı engeller
gitleaks - Regex ve entropi kullanarak git depolarını (veya dosyalarını) sırlar için tarayın
truffleHog - Yüksek entropili dizeler ve sırlar için git depolarında arama yaparak taahhüt geçmişinin derinliklerine iner
gitGraber - gitGraber: Farklı çevrimiçi hizmetler için hassas verileri gerçek zamanlı olarak aramak ve bulmak için GitHub'u izleyin
talisman - Talisman, Git tarafından sağlanan ön itme kancasına bağlanarak, yetkilendirme belirteçleri ve özel anahtarlar gibi şüpheli görünen şeyler için giden değişiklik kümesini doğrular.
GitGot - GitHub'daki halka açık veri hazinelerinde hassas sırları hızlı bir şekilde aramak için yarı otomatik, geri bildirim odaklı araç.
git-all-secrets - Birden fazla açık kaynaklı git arama aracından yararlanarak tüm git sırlarını yakalayan bir araç
github-search - GitHub'da temel aramayı gerçekleştirmeye yönelik araçlar.
git-vuln-finder - Git taahhüt mesajlarından potansiyel yazılım açıklarını bulma
commit-stream - Github olay API'sinden gerçek zamanlı olarak taahhüt günlüklerini çıkararak Github depolarını bulmak için #OSINT aracı
gitrob - GitHub kuruluşları için keşif aracı
repo-supervisor - Kodunuzu yanlış güvenlik yapılandırmasına karşı tarayın, şifreleri ve sırları arayın.
GitMiner - Github'daki içerik için gelişmiş madencilik aracı
shhgit - Ah şşşt! GitHub sırlarını gerçek zamanlı olarak bulun
detect-secrets - Koddaki sırları tespit etmenin ve önlemenin kurumsal dostu bir yolu.
rusty-hog - Performans için Rust'ta yerleşik bir gizli tarayıcı paketi. TruffleHog'a dayanmaktadır
whispers - Sabit kodlanmış sırları ve tehlikeli davranışları belirleyin
yar - Yar, kuruluşları, kullanıcıları ve/veya depoları yağmalamaya yönelik bir araçtır.
dufflebag - Gizli bilgiler için açığa çıkan EBS birimlerinde arama yapın
secret-bridge - Github'u sızdırılan sırlara karşı izler
earlybird - EarlyBird, açık metin şifre ihlalleri, PII, güncel olmayan şifreleme yöntemleri, anahtar dosyalar ve daha fazlası için kaynak kodu depolarını tarayabilen hassas bir veri algılama aracıdır.
Trufflehog-Chrome-Extension - Trufflehog-Krom-Uzantısı
noseyparker - Nosy Parker, metin verileri ve Git geçmişindeki sırları ve hassas bilgileri bulan bir komut satırı programıdır.
Okuduğunuz için Teşekkür Ederim
Konunun Devamı Bu Linktedir.
2-bolum
Son düzenleme:
