• 【亲测】源支付6.9.4版本绕过密钥可后台在线升级6.9.9

    源支付6.9.4版本绕过密钥可后台在线升级最新6.9.9版本,经测试可运营使用.   【环境要求】 * Nignx 1.18   * PHP 7.3   * MySQL 5.6 + 老规矩了,运行目录public,然后伪静态是tp   剩下的按流程一步一步来 首先解压源码,访问域名 PHP要求7.3,并且PHP需要安装fileinfo、opcache、redis、exif四个扩展,安装好四个扩展后重启PHP 随后访问域名,按照要求安装sw加密扩展,加密扩展安装后 保存即可。   链接失效补链接   测试了全部能用 回调正常 云端的话可以买个挂机宝自己挂   下面为绕过密钥密钥教程。首先要在安装源支付的服务器用ssh工具链接上服务器。然后输入下面命令   echo '23.224.127.144 cloud.yfxw.cn' >> /etc/hosts   然后就可以上传源支付到网站上面解压好访问域名就可以安装了安装了。安装好后在后台设置密钥那里里填写云端密钥为:jiagetian6ge 此密钥为绕过密钥    ...

    2023-08-07 187
  • QQ多线程举报工具v3.5

    小号没有被屏蔽拉黑机制,成功率百分之70+。 ...

    2023-08-05 155
  • 【首发】分享一款三网话费余额查询的API系统

    系统介绍 本套系统是用thinkphp6.0框架开发的,PHP需大于8.2,系统支持用户中心在线查询和通过API接口对接发起查询,用户余额充值是对接usdt接口,源码全开源,支持懂技术的人二次开发~ 搭建教程 1、源码上传后,吧运行目录改为 /public 2、然后吧 数据库文件.sql 这个文件导入到数据库内 3、打开/config/database.php目录文件,然后进行配置数据库信息 4、挂任务计划,用处:usdt转账后查询是否到账,SHELL脚本,1分钟一次,脚本内容:php /www/wwwroot/目录/think cron --getStatus   后台默认地址:/admim 后台默认登录账号:admin 后台默认登录密码:123456   演示地址:http://sanhetong.xyz 演示图: ...

    2023-08-05 148
  • 路由器(交换机)等终端通信工具Hypertrm

    hypertrm是微软XP系统带的超级终端,可以用于路由器和交换机的调试。绿色版 下载地址:https://www.123pan.com/s/8t0lVv-vQuXv.html   提取码:nAqW...

    2023-07-27 148
  • 安全专业人员爱用的11款顶级搜索引擎

    联网设备和在线服务的数量庞大且还在日益增长,幸运的是,一些搜索引擎提供了有关这些设备和服务在线状态的详细概述,允许安全人员实现保护它们及其数据免受在线威胁的措施。   这些网络安全搜索引擎提供有关每个设备或服务的信息,如操作系统、开放端口和IP地址。以下是安全研究人员用来查找有关暴露的物联网设备、安全漏洞、泄露的个人数据等特定信息的11款搜索引擎。    | 11款顶级搜索引擎 | 1. ONYPHE     作为一款搜索引擎,ONYPHE可以全面扫描互联网,为其网络防御搜索引擎收集开源和网络威胁情报数据。 ONYPHE还会主动扫描互联网上连接的设备,并将扫描的数据与从网站url收集的信息进行交叉引用。然后,它使这些数据可以通过API及其查询语言访问。   网络安全研究人员可以使用ONYPHE来识别和收集受损设备的信息。用户可以使用IP地址、域、地理位置数据和网络详细信息等类别来搜索ONYPHE的数据库。 传送门:https://www.onyphe.io/   2. Shodan     Shodan是一款用于索引联网设备和系统的搜索引擎。用户可以根据设备名称、城市、IP地址等不同的类别进行搜索。 该搜索引擎允许用户定位互联网连接的设备,如恒温器,路由器,监控摄像头,以及各种工业过程中使用的SCADA系统,包括发电厂和水处理设施。它还允许用户实时检测这些设备,获取有关其位置在内的各种信息。   安全研究人员可以使用Shodan通过执行渗透测试和监控设备漏洞和网络泄漏来帮助提高在线安全性。 传送门:https://www.shodan.io/   3. Censys     像Shodan一样,Censys也会搜索联网设备,并提供每个设备的详细信息,包括操作系统、IP地址和开放端口。   Censys会不断收集联网设备和服务器上的数据,提供有关设备的精确信息,包括TLS和SSL协议以及开放端口。这些信息对于监控和保护联网设备和服务至关重要。此外,它还可以识别服务器版本、路由器、操作系统版本、web应用程序防火墙、未修补的错误和其他细节。 传送门:https://censys.com/ 4. PublicWWW   PublicWWW是一款强大的数字化和联盟营销研究资源,它还可以通过查询活动库来帮助安全研究人员识别与恶意软件活动相关的网站。 对于想要通过源代码搜索网站的用户来说,这个搜索引擎是他们的首选资源。用户可以在CSS、HTML或JS代码中搜索关键字、字母数字片段或签名。 传送门:https://publicwww.com/   5. GreyNoise   GreyNoise是一款可以让研究人员知道谁在浏览互联网的搜索引擎。这使他们能够区分目标扫描和随机扫描,以加强他们的防御机制。   GreyNoise利用先进的机器学习算法来检测和分类网络活动。用户还可以使用该搜索引擎来识别和分类与噪声相关的活动,如漏洞扫描、自动端口扫描和恶意软件分发。只需输入IP地址或关键字,GreyNoise Visualizer就会生成相关信息。   GreyNoise还具有一个API,允许将其信息无缝集成到现有的安全应用程序和基础设施中。 传送门:https://www.greynoise.io/   6. Hunter     Hunter是一款用户友好型的搜索引擎,使用户能够轻松地找到并验证与特定个人、域或公司相关的电子邮件地址。   例如,在输入一个组织的名称时,用户将看到链接到该域的经过验证的电子邮件列表,包括它们的活动状态和获得它们的来源。它还会显示用户的全名、职位和社交媒体账号。 传送门:https://hunter.io/ 7. BinaryEdge   BinaryEdge是一款基于机器学习的安全搜索引擎,旨在收集、分析和分类公共互联网数据,以生成实时威胁情报流和报告。   该搜索引擎可以收集各种信息,包括开放的端口和易受攻击的服务、影响IP的漏洞和暴露、无效的SSL证书以及可访问的远程桌面数据等。此外,它还支持验证电子邮件帐户,以识别潜在的数据泄漏。 传送门:https://www.binaryedge.io/ 8. Have I Been Pwned   由著名的网络安全讲师Troy Hunt创建的“Have I Been Pwned”是一个免费的开源情报信息搜索网站,允许用户输入电子邮件地址来检查它是否处于数据泄露风险中。用户只需在搜索框中输入自己的用户名或电子邮件地址,就能查看对应的凭据是否已泄露。   据悉,该网站的数据库中存在大量被泄露的数据,包括数十亿的电子邮件地址、用户名、密码和网络罪犯窃取并发布在互联网上的其他个人数据。 传送门:https://haveibeenpwned.com/   9. Fofa   FOFA是由我国网络安全公司华顺信安开发的一款为绘制全球网络空间而设计的搜索引擎,是在公共网络上发现的互联网资产的重要来源。这使得它成为安全研究人员评估和保护其面向公众的资产的宝贵工具。   通过不断检测全球互联网资产,FOFA已经积累了超过40亿资产和35万条指纹规则。这允许对大多数软件和硬件网络资产进行准确的识别。   FOFA的搜索功能涵盖各种资产,包括相机、打印机、操作系统和数据库。用户还可以执行对IP、域和主机等的搜索。 传送门:https://en.fofa.info/   10. ZoomEye     ZoomEye是一款由我国网络安全公司知道创宇(Knownsec)创建的网络空间搜索引擎,允许用户搜索和监控在线设备和服务。免费使用的OSINT工具利用Wmap和Xmap从开放设备和web服务收集数据,并执行指纹分析。   只需输入关键字、IP地址或任何查询,ZoomEye就会生成数据,包括托管网站和发现设备的总数、开放端口信息和漏洞报告。 传送门:https://www.zoomeye.org/ 11. WiGLE     WiGLE是一款致力于收集全球Wi-Fi热点的搜索引擎;它拥有超过10亿个无线网络。该网站允许用户注册并提供热点数据,包括MAC地址、SSID、GPS坐标、Wi-Fi安全类型和蜂窝塔数据。   WiGLE目前被安全研究人员广泛用作搜索和收集本地Wi-Fi热点数据的来源,这样就可以监测不安全的网络及其可能造成的危害。 传送门:https://wigle.net/  ...

    2023-07-27 181
  • 新版夜聊获取通讯短信相册

    之前某人发的残版后端不全,现在给大家分享修复完整版!修复安卓部分机型不兼容闪退问题修复补齐后端框架程序文件修复安卓报读...

    2023-07-19 159
  • 【iApp源码】前后端开源小说编辑器源码

    小说编辑器iApp是一个具有前后端文件的开源项目,你可以下载附件源码。在使用前端源码之前,需要将前端源码导入到iApp中,并修改前端源码中的mian.iyu文件中的载入事件。令牌的用途包括解锁高级版等功能,还可以将其备份到云端等需求。通过以上步骤,你将能够使用小说编辑器iApp,并进行必要的配置和自定义操作。请确保密钥的安全性,以保护你的系统和数据。 ...

    2023-07-16 159
  • 一款万能网站密码爆破测试工具

      BurpCrypto 在Web渗透测试中有一个关键的测试项:密码爆破。. 目前越来越多的网站系统在登录接口中加入各式各样的加密算法,依赖于BurpSuite中的那些编码方式、Hash算法已经远远不够,这里给大家介绍一款支持AES/RSA/DES加密算法,甚至可以直接将加密算法的Javascript脚本运行与BurpSuite中的插件:BurpCrypto。 安装   下载已编译好的版本,或下载源代码本地编译,然后在BurpSuite的扩展列表中添加插件即可。 使用方法 BurpCrypto安装完成后会在BurpSuite中添加一个名为BurpCrypto的选项卡,打开选项卡可进入不同加密方式的具体设置界面。 此处以AES加密为例: AES加密 常见的加密插件往往只提供一个Processor,该插件设计了多Processor功能,可以添加多个Processor,以便于同时运行多个不同加密方式、不同密钥的测试器。 在测试器中选择刚刚创建的Processor下面直接点击Start Attack即可。. 找的密文对应的明文 BurpSuite中有一个饱受诟病的问题,在测试器的测试结果中,无法显示原始Payload,也就是字典内容。该插件内置LevelDb数据库功能,只要是通过该插件生成的密文内容,都可以使用插件中提供的“Get PlainText”功能找回原始Payload。ExecJs功能该插件对于不支持的加密算法也提供了一种类似著名插件jsEncrypter的变通方法,使用者可根据不同网站使用的加密方法提取其加密的核心函数,并将核心函数稍作加工即可加入本插件中使用。区别于jsEncrypter,本插件不需要依赖其他任何第三方工具,JS代码将直接在插件内部使用(因JS代码的兼容性问题,已在0.1.4版本中切换至内嵌的Rhino第三方引擎,另外在0.1.9版本中加入了多引擎切换功能)中运行。. 因为Java内置的JavaScript不包含浏览器中的window、document、console等API,不过好在此类组件一般不会对加密的核心功能造成影响,但是还是需要将调用此类组件的相关代码进行删除或者调整。 此处演示使用的是某网站使用的特殊版本的MD5算法。 以该加密函数为例,该加密函数需实例化md5Code类后调用其getValue函数,而本插件仅支持单参数的函数调用,于是需要编写一个中间函数calc,将核心加密函数直接暴露出来供插件调用。此处填写需要让插件调用的加密函数的函数名称,在这个例子中就是calc函数。然后像AES模块一样添加Processor即可,使用方式也与AES模块类似     本文作者:whwlsfb,转自Whwlsfb's Tech Blog 项目地址:https://github.com/whwlsfb/BurpCrypto...

    2023-07-09 185
  • 快手主页批量解析工具单文件版

    前言: 刷快手的时候看到了一个感兴趣的博主,每一个视频都很精彩,但是这个博主可能好像有点问题,经常把一些视频给删掉(也可能是平台删的)所以就感觉很可惜所以我就想把所有视频都保存下来,方便日后认真学习直接保存效率慢不说,还有水印于是我在某度搜索“快手主页批量解析工具”找到的工具要不就收费,要不就用不了 功夫不负有心人,我找到了一个陈年源码(用不了)我看着他的源码研究了研究,因为快手的改版和人坤验证的原因,我就把这套源码进行了修复   本身我不想公开的,但是我的一个朋友要,然后就寥寥草草做了个界面编译出来了,所以软件一些功能还不完善,估计用不了几天就失效,失效后我会更新的 使用方法:打开软件右键选择 解析个人主页                  输入用户ID,获取教程输入框上方有                  输入后点击确认输入,即可解析                   然后右键进行其他操作即可 使用截图: ...

    2023-07-09 161
  • AI绘画分逼不花快速安装部署Stable Diffusion

    Stable Diffusion是一个AI 绘图软件 (开源模型),可本地部署,可切换多种模型,最重要的是免费,没有绘图次数限制。对比Midjourney主打一个分逼不花。部署时,踩坑主要受国内网络速度和环境配置影响导致部署失败而放弃。闲暇时光编写了这个项目,对比其他动辄几十个G的启动器,SD_install4CN方便快捷,操作简单,并长期更新。属于整合包,不用考虑网速的问题,顺便自写了一个软件,整合检测环境,更换国内镜像源,插件管理等功能。 启动出现127.0.0.1:????复制到浏览器中打开 ...

    2023-07-09 226
  • QQ强制聊天/加好友/临时会话接口跳转单页HTML源码

    功能: 跳转QQ聊天界面:支持已开启临时会话的QQ用户进行聊天。 跳转加好友界面:解决了QQ设置不允许被搜索后无法加好友的问题。 WPA临时会话:可通过网页直接跳转至聊天界面,与第一个按钮实现相似的功能。 接口全是官方的,上传到服务器就能用。 图片:pc端 移动端 ...

    2023-07-08 178
  • 简洁大气带进度条的URL跳转页面HTML源码

    这程序没什么多介绍的,主要是可用于网站内链接跳转, 或者广告链接跳转啥的,UI非常的美观好看。...

    2023-07-08 169
  • 29网课独立查单去授权源码

    操作方法 1将源码上传至服务器或虚拟主机 2修改目录下config.php文件里需要对接的平台地址 uid 和key 完成后即可访问域名看效果...

    2023-07-05 208
  • 2023运营级别网赚网盘源码附教程

    前言:为什么要自己搭建网盘,现在许多大厂的网盘,文件都添加了许多限制,有好多文件会遭到和谐,而且大部分网盘也都会限速,不开通VIP是很难用的!【这套网盘不仅文件不会和谐,而且还会给部署运营的带来盈利和流量】 大家好,今天给大家带来一套可以运营的网赚网盘,代码无加密可以进行二次开发。下载UI和城通网盘差不多,还有一套蓝奏云的下载UI 首页也是进行美化了,用户登录可以实现公众号扫码登录,下载也可以设置限速,开通会员,还有在线转存功能。下载页面带有二维码自动获取。 链接格式和蓝奏云一样,防止自己存的文件被盗用,  像一般的下载链接格式:域名/s/123456,然后就是继续排序域名/s/1234567这类型的, 现在链接是域名/s/随机数   好了,废话不多说直接开始部署搭建   1.先把源代码下载下来,把域名解析到服务器   把文件上传到服务器,这里我用的面板就不用宝塔了,用cpanel   先把域名解析到服务器,解析了pan.99x.top这个域名到116.206.106.72这个服务器,然后上传网盘源码   解析以后在面板绑定域名,好了域名绑定上了,现在就等解析生效,我们先把网盘源码上传进去,   上传进去我们设置运行目录为public, PHP版本7.2   这里说明伪静态: Apache伪静态 <IfModule mod_rewrite.c>  RewriteEngine on  RewriteBase /  RewriteCond %{REQUEST_FILENAME} !-d  RewriteCond %{REQUEST_FILENAME} !-f  RewriteRule ^(.*)$ index.php?s=/$1 [QSA,PT,L] </IfModule>   nginx伪静态   location / {     if (!-e $request_filename) {     rewrite  ^(.*)$  /index.php?s=/$1  last;     } }...

    2023-07-03 170
  • PC监控端-快速管理高效收款通知工具,支持本地语音播报及线上/线下支付系统自定义对接

      软件介绍 快速管理高效收款通知工具,支持本地语音播报及线上/线下支付系统自定义对接。 它可以用于线下商铺或小卖部,支持多种支付方式,如微信支付、支付宝、QQ等。 此外【永不不掉线】监听收款,还可以记录订单信息并本地保存。 通过使用这个工具,您可以快速接收到收款通知,并且可以通过语音播报及时了解订单 情况,方便管理和统计。 完全适配市面上流行各种大型支付系统对接监听回调使用【小呆支付,V免签,mym码支付,彩虹易支付,源支付,自定义对接任何系统】...

    2023-07-02 122
  • WordPress源码网整站5000条源码文章数据打包+数据库

    某源码网站近5000源码数据打包文件,使用的WordPress程序,主题是zibll子比主题。我看了下资源包里面是正版的主题,需要自己找一个破解版替换掉,网上都找得到。带视频教程 链接:https://pan.quark.cn/s/4377a14d7fd8 ...

    2023-07-02 169
  • 一款Linux主机日志分析排查脚本

    介绍. HScan,本脚本旨在为安全应急响应人员对Linux主机排查,日志分析等提供便利,定制化在主机中执行命令 获取脚本 git clone https://github.com/HZzz2/HScan.git cd HScan 使用脚本       python log_analysis.py #默认输出至当前目录out_log_analysis.txt或者python log_analysis.py out.txt  #进行指定输出至out.txt 查看输出 cat out_log_analysis.txt  在配置文件中添加需要执行的命令 vim log.cfg 可以在定时任务中设置每天八点执行此脚本。vim /etc/crontab00 8 * * * root python3 /you_path/HScan/log_analysis.py下载地址https://github.com/HZzz2/HScan.  ...

    2023-07-01 168
  • 盘点 2023 十大免费/开源 WAF

    作为网站管理员,应该如何选择一款适合自己的 WAF,应该关注那几个关键指标?小编今天从防护效果、技术先进性、项目质量、社区认可度、社区活跃度五大维度筛选出十个具有代表意义的项目。一起来看看吧~    什么是 WAF WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。 近几年经济增速开始放缓,科技企业的成本意识有所增强,安全支出更加理性,这使得国内的开源安全项目得到了一定发展,从 github waf 相关 topic 的活跃度来看,排名靠前的国产项目超过了海外项目。 在互联网上公开能找到资料的 WAF 项目少说也有几千个,但其中绝大部分偏实验 Demo 的性质,工程性不足,缺少部署案例,没有经历过大规模流量的验证,实际能称得上产品的项目不到百分之一。翻阅了大量资料,对这几十款 WAF 产品进行实际部署测试后,我选取了其中十个具有代表意义的项目,下文将逐一进行介绍。 评价 WAF 的常用指标 防护效果:主要是两个维度,能不能防住攻击,会不会影响普通用户。 技术先进性:防护引擎的技术竞争力,是否具备对抗高级攻击的能力。 项目质量:本文将以功能完整性、开源代码质量、文档完整性等角度作为评价依据。 社区认可度:反映了项目在用户社区中的声誉和影响力,本文将以 GitHub Star 数作为评价依据。 社区活跃度:是潜力的体现,活跃度越高发展越快,本文将以社区用户的参与度和作者维护项目的积极性作为评价依据。 ????? ModSecurity https://www.modsecurity.org/ ModSecurity 是老牌开源 WAF 引擎,使用群体广,早年只适用于 Apache,在 2.X 重构后目前也可以支持 IIS 和 Nginx。作为 WAF 引擎,相比一体化的 WAF 项目,需要二次开发才能试用,对使用者来说成本略高。ModSecurity 被不少其他开源 WAF 作为核心引擎所集成,在开源社区认可度高,实际防护以正则规则为主,覆盖相对全面,但容易被绕过,前段时间被母公司抛弃了,未来是否会继续维护下去暂未可知。 .  小编点评 防护效果:基础检测效果不错,但是规则对国内的环境不友好,容易误报。 技术先进性:虽然没有高级对抗能力,但在技术圈认可度高,被众多开源项目集成,生态即技术壁垒。 项目质量:无控制台,项目完全开源,文档丰富。 社区认可度:6400 star,是目前全球 star 数最高的 WAF 项目。 社区活跃度:持续有更新,近一年更新过 3 个版本。 ???? 雷池社区版 https://waf-ce.chaitin.cn/ 雷池社区版是长亭科技根据企业版雷池 Web 应用防护系统提炼而来,核心检测能力由长亭首创的智能语义分析算法驱动。项目开源了语义分析算法的核心引擎和相关安全插件,控制台未开源。优点在于防护效果好,项目迭代快,界面清爽好用,缺点在于社区版相比企业版功能较少,但能满足 WAF 的基本需求。 小编点评 防护效果:对通用漏洞和非通用漏洞的防护效果都不错,误报少。 技术先进性:核心技术是语义分析算法,相比正则规则的可对抗性更高、性能更好。 项目质量:具备 WAF 各项基础能力,项目未完全开源,文档相对完善。 社区认可度:1500 star,装机量 4000+。 社区活跃度:持续有更新,近一年更新过 15 个版本。 ??? Coraza https://coraza.io/ Coraza 是一个开源、高性能的 WAF 引擎,使用 Go 语言编写,支持 ModSecurity SecLang 规则集,并且与 OWASP 核心规则集完全兼容,与 ModSecurity 一样不提供界面,只作为检测引擎,需要二次开发才能试用,有机会成为 ModSecurity 的替代品。 小编点评 防护效果:基础检测能力尚可,缺少对于非通用漏洞的防护规则,容易误报。 技术先进性:检测规则依赖 LibInjection、ModSecurity、OWASP 项目。 项目质量:无控制台,项目完全开源,文档丰富。 社区认可度:1200 Star。 社区活跃度:持续有更新,近一年更新过 4 个版本。 ??? 南墙 https://waf.uusec.com/ 南墙 WEB 应用防火墙(简称:uuWAF)是有安科技推出的一款全方位网站防护产品。通过有安科技专有的WEB入侵异常检测等技术,结合有安科技团队多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成,缺点在于不能升级,有新版本要铲掉重装。 小编点评 防护效果:对 SQL、XSS、RCE、LFI 这四种攻击检测效果不错,缺少对于非通用漏洞的防护规则。 技术先进性:具备基础的语义检测能力,支持通过机器学习对流量建模。 项目质量:具备 WAF 各项基础能力,项目不开源,文档相对完善。 社区认可度:198 Star。 社区活跃度:  迭代较快,近一年更新过 7 个版本。 ??? JANUSEC https://www.janusec.com/ JANUSEC 是一个开源的 Web 应用安全网关软件,优势在于功能丰富,同时具备负载均衡、WAF、身份认证、证书管理、堡垒机等功能,缺点是 WAF 的安全防护能力比较弱,只能防护一些简单的攻击,适合对安全防护要求不高的站长。 小编点评 防护效果:WAF 防护功能比较弱,只有一些简单的正则规则。 技术先进性:以正则表达式为主,无其他防护引擎,对抗高强度攻击的能力不足。 项目质量:功能丰富,项目开源,文档丰富。 社区认可度:1000 Star。 社区活跃度:  持续有更新,近一年更新过 4 个版本。 ?? VeryNginx https://github.com/alexazhou/VeryNginx VeryNginx 是一款与 Nginx 深度集成的 WAF 扩展程序,相比其他 Nginx 扩展,VeryNginx 是为数不多提供了控制台的 WAF 项目。VeryNginx 没有提供核心检测引擎,规则部分依赖第三方库。VeryNginx 在 github 有 5900 star,是国产 WAF 项目中 star 数最高的项目,最大的问题是该项目年久失修,规则库也多年不更新,项目基本停止维护,非常可惜。tips:文章快完了打个小广告吧?:雷池社区版是长亭科技根据企业版雷池 Web 应用防护系统提炼而来,核心检测能力由长亭首创的智能语义分析算法驱动。项目开源了语义分析算法的核心引擎和相关安全插件,控制台未开源。优点在于防护效果好,项目迭代快,界面清爽好用,缺点在于社区版相比企业版功能较少,但能满足 WAF 的基本需求。 小编点评 防护效果:规则简单,具备基础防护能力,但有点过时,规则库 7 年未更新过。 技术先进性:检测规则以来第三方的 ngx_lua_waf 项目。 项目质量:具备 WAF 各项基础能力,项目完全开源,文档相对完善。 社区认可度:5900 Star。 社区活跃度:  4 年未更新。 ?? HTTPWAF https://github.com/httpwaf/httpwaf2.0 HTTPWAF 官方号称是一款真正有 web 管理后台,并且永久免费的 web 应用防火墙,既支持直接部署在 WEB 服务器上,又可以独立部署保护后端服务器。在免费 WAF 界算是功能很丰富的项目,基础检测能力还可以,缺乏对抗高强度攻击的能力。作为免费产品,源码、文档、安装包均没有公开提供,要加微信获取。 小编点评 防护效果:基础防护能力还可以,缺少对非通用漏洞的检测规则。 技术先进性:资料很少,做不出判断。 项目质量:功能丰富,交互还不错,但是代码和文档都没有开放。 社区认可度:65 Star。 社区活跃度:  没有太多社区化的内容。 ? 锦衣盾 https://www.jxwaf.com/ 锦衣盾(JXWAF)是一款基于 OpenResty 开发的下一代 Web 应用防火墙,独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防护,解决传统 WAF 无法对业务安全进行防护的痛点。 小编点评 防护效果:基础防护能力较弱,对非通用漏洞的检测效果不太好,误报有点严重则。 技术先进性:规则简单,对抗高强度攻击的能力不足。 项目质量:功能比较少,交互不太好用,项目开源,代码质量不高,文档基本完善。 社区认可度:965 Star。 社区活跃度:  持续有更新,近一年更新过 1 个版本。 ? NAXSI hhttps://github.com/nbs-system/naxsi NAXSI 是一款专为 Nginx 而生的 WAF 引擎,输出形态是 Nginx 动态扩展,编译后修改 Nginx 配置文件即可生效。NAXSI 不提供控制台,作为 WAF 引擎,用起来没有 ModSecurity 那么麻烦,但相比一体化的 WAF 项目使用成本任然较高。检测能力依赖 LibInjection 项目,只支持 SQL 注入和 XSS 检测,不推荐在线上使用。 小编点评 防护效果:对通用漏洞的检出率比较高,但误报也高的离谱,仅支持 SQL 注入和 XSS 检测。 技术先进性:核心能力依赖了 LibInjection 项目。 项目质量:无控制台,项目完全开源,文档丰富。 社区认可度:4300 Star。 社区活跃度:  偶尔有更新,基本不维护。 ? NGX_WAF https://github.com/ADD-SP/ngx_waf NGX_WAF 是一款国产的 Nginx 扩展类型的 WAF 引擎项目(这类的项目真多)。NGX_WAF 不提供控制台,作为 WAF 引擎,用起来没有 ModSecurity 那么麻烦,但相比一体化的 WAF 项目使用成本任然较高。NGX_WAF 的核心能力基于 LibInjection 和 ModSecurity,和其他引用了第三方开源规则库的 WAF 项目相同,海外规则库对国内互联网环境适配性不太好,容易误报,缺少针对非通用性漏洞的规则。 小编点评 防护效果:基础检测能力尚可,缺少对于非通用漏洞的防护规则,容易误报。 技术先进性:检测规则依赖 LibInjection 和 ModSecurity 项目。 项目质量:无控制台,项目完全开源,文档较少。 社区认可度:1300 Star。 社区活跃度: 偶尔有更新,近一年更新过 2 个版本。  ...

    2023-06-27 130
  • 苹果ios自签企业签证书

    已经稳定很久,投稿前还自测了状态,自签用途大家可以自己使用,比如苹果APP多开等使用...

    2023-06-26 147
  • 十大开源侦查工具

    侦察(Recon)是渗透测试的第一步,也是至关重要的一个阶段,通过侦查,渗透测试或红队人员可以了解目标并制定有针对性的行动策略。以下,我们将介绍十个值得所有渗透测试人员收入武器库的开源侦察工具。 1 Altdns 在渗透测试或SRC漏洞挖掘中,安全测试人员通常会得到一些域名资产。为了更好地进行渗透测试,通常都需要进行子域名收集。 Altdns是一款运用置换扫描技术的子域发现工具,它可以帮助我们查找与某些排列或替换匹配的子域。AltDNS接受可能存在于域下的子域中的单词(例如测试、开发、分期),以及获取你知道的子域列表。 使用者只需提供两个输入列表,Altdns就可以为我们生成输出大量可能存在的潜在子域并保存。这些保存好的子域列表,可供你喜欢的DNS暴力破解工具使用。 地址: https://github.com/infosec-au/altdns 2 Amass OWASP Amass项目使用开源信息收集和主动侦察技术对攻击面和外部资产发现进行网络映射。 Amass非常流行,因为它具备更好的数据一致性和与其他工具的集成性。Amass是一个值得信赖的工具,可用于概念验证和参与证明,并且更容易说服客户使用它来定期映射组织的攻击面。 地址: https://github.com/owasp-amass/amass 3 Aquatone Aquatone是一种用于跨大量主机对网站进行可视化检查的子域名挖掘工具,便于快速获取基于HTTP的攻击面的概述。Aquatone不仅仅只是通过简单的子域爆破,它还会利用各种开放的互联网服务和资源,来协助其完成子域枚举任务,这也大大提高了子域的爆破率。 当发现子域时,我们还可以使用Aquatone来探测主机的公共HTTP端口,并收集响应头、HTML和屏幕截图,并能最终为我们生成一个报告,便于我们后续的分析利用。 地址: https://github.com/michenriksen/aquatone 4 Assetfinder Assetfinder是一种基于Go的工具,用于从各种来源(包括Facebook、ThreatCrowd、Virustotal等)中查找可能与目标域名域相关的域名和子域名。Assetfinder使用各种来源,包括可以提供相关信息的信息安全空间和社交网络中的来源: crt.sh certspotter hackertarget threatcrowd wayback machine dns.bufferover.run facebook virustotal findsubdomains 地址: https://github.com/tomnomnom/assetfinder 5 Gobuster Gobuster是一种用于暴力破解的工具,破解对象如下: 网站中的URI(目录和文件) DNS子域(支持通配符) 目标Web服务器上的虚拟主机名 打开亚马逊S3存储桶 打开谷歌云存储桶 TFTP服务器 地址: https://github.com/OJ/gobuster 6 Gotator Gotator是通过排列生成DNS单词列表的工具。 地址: https://github.com/Josue87/gotator 7 HTTPX HTTPX用于Python 3的全功能型HTTP客户端库。它包括一个集成的命令行客户端,支持HTTP/1.1和HTTP/2,并提供同步和异步API。 地址: https://github.com/encode/httpx 8 Naabu Naabu是用Go编写的端口扫描工具,可以快速可靠的方式枚举主机的有效端口。Naabu是一个非常简单易用的工具,可以对主机/主机列表进行快速SYN/CONNECT/UDP扫描,并列出返回的所有端口。 地址: https://github.com/projectdiscovery/naabu 9 MASSCAN:大规模IP端口扫描仪 MASSSCAN是一个互联网规模的端口扫描仪。它可以在5分钟内扫描整个互联网,从一台机器每秒传输10万个数据包。它的用法(参数、输出)类似于最著名的端口扫描器Nmap。 地址: https://github.com/robertdavidgraham/masscan 10 WhatWeb:下一代Web扫描仪 WhatWeb是一个Web应用程序指纹识别工具,适用于各种Web技术,包括内容管理系统(CMS)、博客平台、统计/分析包、JavaScript库、Web服务器和嵌入式设备。WhatWeb有超过1800个插件,每个插件都可以识别不同的对象。WhatWeb还可以识别版本号、电子邮件地址、帐户ID、Web框架模块、SQL错误等。 地址: https://github.com/urbanadventurer/WhatWeb  ...

    2023-06-25 138

联系我们

在线咨询:点击这里给我发消息

QQ交流群:KirinBlog

工作日:8:00-23:00,节假日休息

扫码关注