freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

一款自動化web滲透測試框架的運用分析
2021-03-28 23:59:41

HW期間,為防范釣魚,即日起FreeBuf將取消投稿文章的一切外部鏈接。給您帶來的不便,敬請諒解~

關于Vajar

Vajra是一個自動化的Web滲透測試框架,它可以幫助廣大安全研究人員在Web應用程序滲透測試期間自動執行無聊的偵察任務以及針對多個目標的相同掃描。Vajra具有高度可定制特性,允許研究人員自定義掃描范圍,我們無需針對目標執行所有的掃描,我們可以根據自己的需要來選擇需要執行的掃描任務,這樣可以最大化減少不必要的通信流量,并將掃描結果輸出至CouchDB中。

Vajra使用了最常見的開源工具,也就是很多安全研究人員在進行安全測試時都會使用到的一些工具。Vajra會通過Web瀏覽器來完成所有的任務,并且提供了易于使用的用戶接口和對初學者友好的功能框架。

眾所周知,從掃描結果中分析數據在滲透測試的過程中是非常重要的,只有當你能以適當的方式將你的數據可視化時我們才會盡可能地尋找出更多有價值的信息。

目前,Vajra的開發人員添加了27個獨特的漏洞獎勵計劃功能,之后還會添加更多支持。

核心功能

可執行高度針對性掃描;

并行運行多個掃描任務;

可根據用戶要求高度定制掃描任務;

絕對初學者友好的Web UI;

掃描速度快(異步掃描);

以CSV格式導出結果或直接復制到剪貼板

Telegram通知支持;

Vajra能做什么?

使用IP、狀態碼和標題進行子域名掃描;

子域名接管掃描;

端口掃描;

主機發現;

主機參數掃描;

7x24小時子域名監控;

7x24小時JavaScript監控;

使用Nuclei執行模板掃描;

對終端節點進行模糊測試以發現隱藏的節點或關鍵文件(例如.env);

提取JavaScript;

使用自定義生成字典進行模糊測試;

提取敏感數據,例如API密鑰和隱藏JavaScript;

檢測無效鏈接;

基于擴展過濾節點;

Favicon哈希;

GitHub Dork;

CORS掃描;

CRLF掃描;

403繞過;

查找隱藏參數;

Google Hacking;

Shodan搜索查詢;

從JavaScript中提取隱藏節點;

創建基于目標的自定義單詞列表;

漏洞掃描;

CVE掃描;

CouchDB存儲所有掃描輸出結果;

工具手動安裝

$ git clone --recursive https://github.com/r3curs1v3-pr0xy/vajra.git

# sudo su (root access is required)

# cd vajra/tools/ && chmod +x *

# cd ../

# nano .env ?(Update username, password, and JWT Secret)

# cd ./install

# chmod +x ./install.sh

# ./install.sh

使用Docker-Compose運行

首先,我們需要使用下列命令將該項目源碼克隆至本地:

git clone --recursive https://github.com/r3curs1v3-pr0xy/vajra.git

接下來,修改配置文件,增加API令牌等等。然后運行下列命令:

docker-compose up

如果你想要修改并更新文件的話,則需要再次運行下列命令:

docker-compose build

docker-compose up

工具使用樣例

完整掃描:

掃描結果:

子域名掃描:

子域名監控:

工具演示視頻

視頻地址:https://www.油tube.com/watch?v=WLurj5Lg8cI

許可證協議

本項目的開發與發布遵循GNU GPL v3開源許可證協議:https://github.com/r3curs1v3-pr0xy/vajra/blob/main/LICENSE

項目地址

Vajra:https://github.com/r3curs1v3-pr0xy/vajra

參考資料

https://github.com/r3curs1v3-pr0xy/vajra/blob/main/CREDITS.md

https://hackwithproxy.medium.com/introducing-vajra-an-advanced-web-hacking-framework-bd8307a01aa8?

本文作者:, 轉載請注明來自FreeBuf.COM

# 滲透測試 # web安全 # 滲透測試工具 # WEB攻擊
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
文章目錄
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网