web安全检测工具

web安全检测工具
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
工具推荐：Recon-ng，WEB安全探测框架 dawner专栏作者2016-04-20金币奖励+8共376759人围观 ，发现 3 个不明物体 WEB安全工具
recon-ng-640x391.png

Recon-ng是一个全面的web探测框架，它由python编写，有着独立的模块、数据库交互功能、交互式帮助提示和命令补全的特性。它提供了一个强大的开源web探测机制，帮助测试人员快速彻底地进行探测。

Recon-ng框架简介
Recon-ng的使用和模式与主流的metasploit框架有点类似，这减少了用户学习利用该框架的难度。当然，Recon-ng也有着自己的特点，其为基于web的开源探测工具。

如果你想要进行exp利用，请使用metasploit框架。如果你想进行社工，请使用社工工具包。如果你想进行被动探测，请使用Recon-ng。

至于主动检测工具的例子，大家可以看看谷歌安全团队的Skipfish。

Recon-ng是一个完全模块化的框架，新的python开发者也能很容易地进行模块贡献。每一个模块都是“module”类的子类，“module”类是一个定制的“cmd”解释器，内置提供了常用任务（如标准输出、数据库交互、进行web请求和API key管理）的简单接口。可以说，基本所有复杂的工作都已经被作者完成。我们想要构建新的模块会非常简单，仅仅需要几分钟。

Modules（模块）
Recon-ng约有80个recon模块，2个发现模块，2个exp利用模块，7个报告模块和2个导入模块：

cache_snoop – DNS缓存录制

interesting_files – 敏感文件探测

command_injector – 远程命令注入shell接口

xpath_bruter – Xpath注入爆破

csv_file – 高级csv文件导入

list – List文件导入

point_usage – Jigsaw – 统计信息提取用法

purchase_contact – Jigsaw – 简单的联系查询

search_contacts – Jigsaw联系枚举

jigsaw_auth – Jigsaw认证联系枚举

linkedin_auth – LinkedIn认证联系枚举

github_miner – Github资源挖掘

whois_miner – Whois数据挖掘

bing_linkedin – Bing Linkedin信息采集

email_validator – SalesMaple邮箱验证

mailtester – MailTester邮箱验证

mangle – 联系分离

unmangle –联系反分离

hibp_breach –Breach搜索

hibp_paste – Paste搜索

pwnedlist – PwnedList验证

migrate_contacts – 域名数据迁移联系

facebook_directory – Facebook目录爬行

fullcontact – FullContact联系枚举

adobe – Adobe Hash破解

bozocrack – PyBozoCrack Hash 查询

hashes_org – Hashes.org Hash查询

leakdb – leakdb Hash查询

metacrawler – 元数据提取

pgp_search – PGP Key Owner查询

salesmaple – SalesMaple联系获取

whois_pocs – Whois POC获取

account_creds – PwnedList – 账户认证信息获取

api_usage – PwnedList – API使用信息

domain_creds – PwnedList – Pwned域名认证获取

domain_ispwned – PwnedList – Pwned域名统计获取

leak_lookup – PwnedList – 泄露信息查询

leaks_dump – PwnedList –泄露信息获取

brute_suffix – DNS公共后缀爆破

baidu_site – Baidu主机名枚举

bing_domain_api – Bing API主机名枚举

bing_domain_web – Bing主机名枚举

brute_hosts – DNS主机名爆破

builtwith – BuiltWith枚举

google_site_api – Google CSE主机名枚举

google_site_web – Google主机名枚举

netcraft – Netcraft主机名枚举

shodan_hostname – Shodan主机名枚举

ssl_san – SSL SAN查询

vpnhunter – VPNHunter查询

yahoo_domain – Yahoo主机名枚举

zone_transfer – DNS域文件收集

ghdb – Google Hacking数据库

punkspider – PunkSPIDER漏洞探测

xssed – XSSed域名查询

xssposed – XSSposed域名查询

migrate_hosts – 域名数据迁移host

bing_ip – Bing API旁站查询

freegeoip –FreeGeoIP ip定位查询

ip_neighbor – My-IP-Neighbors.com查询

ipinfodb – IPInfoDB GeoIP查询

resolve – 主机名解析器

reverse_resolve – 反解析

ssltools – SSLTools.com主机名查询

geocode – 地理位置编码

reverse_geocode – 反地理位置编码

flickr – Flickr地理位置查询

instagram – Instagram地理位置查询

picasa – Picasa地理位置查询

shodan – Shodan地理位置查询

twitter – Twitter地理位置查询

whois_orgs – Whois公司信息收集

reverse_resolve – 反解析

shodan_net – Shodan网络枚举

census_2012 – Internet Census 2012 查询

sonar_cio – Project Sonar查询

migrate_ports – 主机端口数据迁移

dev_diver – Dev Diver Repository检查

linkedin – Linkedin联系获取

linkedin_crawl – Linkedin信息抓取

namechk – NameChk.com用户名验证

profiler – OSINT HUMINT信息收集

twitter – Twitter操作

github_repos – Github代码枚举

gists_search – Github Gist搜索

github_dorks – Github Dork分析

csv – CSV文件生成

html – HTML报告生成

json – JSON报告生成

list – List生成

pushpin – PushPin报告生成

xlsx – XLSX文件创建

xml – XML报告生成

所有的第三方库/包需要提前安装，以下是依赖库和包：

dnspython – http://www.dnspython.org/

dicttoxml – https://github.com/quandyfactory/dicttoxml/

jsonrpclib –https://github.com/joshmarshall/jsonrpclib/

lxml – http://lxml.de/

mechanize –http://wwwsearch.sourceforge.net/mechanize/

slowaes –https://code.google.com/p/slowaes/

XlsxWriter – https://github.com/jmcnamara/XlsxWriter/

你可以通过以下方式下载：

git clone https://LaNMaSteR53@bitbucket.org/LaNMaSteR53/recon-ng.git
进入recon-ng目录：

cd recon-ng
安装依赖：

pip install -r REQUIREMENTS
了解更多详情，请阅读这里。

*参考来源：DN，FB小编dawner编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

dawner
dawner
285 篇文章
等级： 9级
||
上一篇：Kickass Torrents因欺诈网站标签问题惨遭三大浏览器屏蔽下一篇：安全预警：JBoss 应用平台后门导致约320万服务器面临威胁 （附检测及利用工具）
这些评论亮了

三三 回复
好东西啊
)7(亮了
发表评论已有 3 条评论

三三 2016-04-20回复 1楼
好东西啊

亮了(7)

boy (1级) 2016-04-21回复 2楼
kali安装依赖出错。。。

亮了(3)

caish2007 (3级) 2016-08-30回复 3楼
kali上已自带了， [recon-ng v4.6.3, Tim Tomes (@LaNMaSteR53)]

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
dawner
dawner专栏作者

黎明已经过去，黑暗就在眼前！

285
文章数
404
评论数
最近文章
浅谈扫描器之插件篇
2018.10.11

浅谈扫描器之加速篇
2018.09.01

selenium爬虫中的post坑
2018.04.18

浏览更多
相关阅读
万物互联的未来：能有多少梦幻，就会有多少危险打造刀郎安全PHP系统对安全审计软件的一次安全审计DAFF：Android应用程序Fuzzing框架Pure Blood v2.0：白帽子、Bug猎人专用的开源渗透测试框架
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank