一款SRC代理掃描器

實戰成果TSRC

siusiu （suitesuite） 一個用來管理 suite 的 suite，志在將滲透測試工程師從各種安全工具的學習和使用中解脫出來，減少滲透測試工程師花在安裝工具、記憶工具使用方法上的時間和精力。

Evilginx2介紹evilginx2是一個中間人攻擊框架，用于網絡釣魚登錄憑據以及會話cookie，從而允許繞過雙因素身份驗證保護。該工具是2017年發布的Evilginx的升級產品，它使用自定義版本的nginx HTTP服務器提供中間人功能，作為瀏覽器和網絡釣魚網站之間的代理。

Evilginx2介紹 evilginx2是一個中間人攻擊框架，用于網絡釣魚登錄憑據以及會話cookie，從而允許繞過雙因素身份驗證保護。Evilginx2用途聲明我非常清楚Evilginx2可以用于惡意目的。防御者有責任考慮此類攻擊并找到保護其用戶免受此類網絡釣魚攻擊的方法。Evilginx只能在合法滲透測試任務中使用，并且必須得到被破壞方的書面許可。需要一個外部服務器，在其中托管evilginx2安裝。

網絡請求一般是由客戶端發起，服務器響應，而代理服務是這個網絡請求的中介，其作用是將客戶端的網絡請求經由自身代理服務轉發至服務端。 某些情況下客戶端無法直接訪問服務端，但代理服務端可以訪問服務端，此時客戶端與代理服務端建立協議，客戶端的請求都經由代理端轉發至服務端這便是正向代理。 正向代理主要面向客戶端服務，服務端的響應會返回給代理服務端，代理服務端會將其轉發至客戶端。

對于公益SRC來說，想要沖榜就不能在一個站上浪費大量時間，公益SRC對洞的質量要求不高，所以只要 花時間，還是可以上榜的。在對某站點進行測試SQL注入的時候，先通過一些方式測試是否可能存在漏洞，然后可以直接sqlmap一把梭，也可以手工測試，然后提交漏洞。任意注冊算是低危漏洞，不過也有兩分。不管是進行SRC漏洞挖掘，還是做項目進行滲透測試,又或者是打紅藍對抗，一定要做好信息收集。

又到了大家最喜歡的分享Github安全干貨系列了！！！

目錄掃描可以讓我們發現這個網站存在多少個目錄，多少個頁面，探索出網站的整體結構。通過目錄掃描我們還能掃描敏感文件，后臺文件，數據庫文件，和信息泄漏文件等等 目錄掃描有兩種方式： ?使用目錄字典進行暴力才接存在該目錄或文件返回200或者403；?使用爬蟲爬行主頁上的所有鏈接，對每個鏈接進行再次爬行，收集這個域名下的所有鏈接，然后總結出需要的信息。

常用的網絡空間搜索引擎：fofa、shodan、zoomeye、censys常見網絡空間搜索引擎介紹網絡空間搜索引擎有哪些目前國內外的網絡空間搜索引擎有 shodan、zoomeye、cnesys、fofa，下面一一介紹。shodanShodan 是目前最為知名的黑客搜索引擎，它是由計算機程序員約翰·馬瑟利于 2009 年推出的，他在 2003 年就提出了搜索與 Internet 鏈接的設備的想法。發展至今已經變成搜索資源最全，搜索性能最強，TOP1 級別的網絡資產搜索引擎。# 搜索指定的主機或域名,例如 hostname:"google"