1.Mip22
github链接:https://github.com/makdosx/mip22
介绍:高级网络钓鱼工具,适用于 Linux 和 Android,只需安装并选择手动或自动攻击,就可以选择要使用的网络钓鱼方法类型
开发语言:Shell
推荐理由:自动攻击方法易于使用,并预装了超过 60 种克隆电子服务,即社交媒体网络、电子邮件提供商和云提供商,也可以使用手动方法并通过 Web 浏览器自己克隆自己的服务,并且它还可以访问隧道设置以及电子邮件服务
2.Legion
github链接:https://github.com/GoVanguard/legion
介绍:一个易于使用的半自动化网络渗透测试框架,有助于发现、侦察和利用网络系统
开发语言:python
推荐理由:Legion 包含多种工具,包括使用 NMAP、whatweb、nikto、Vulners、Hydra 等进行自动侦察,以及近 100 个自动调度脚本。它带有一个易于使用的图形界面,允许渗透测试人员在主机上找到攻击向量。同时,它还配备了 IPS 规避工具以及使用 Exploit-DB 自动检测 CPE 和 CVE
3.Sparta
github链接:https://github.com/SECFORCE/sparta
介绍:SPARTA 是一个 python GUI 应用程序,用于侦察和网络枚举
开发语言:python
推荐理由:Sparta 允许使用脚本目录自动扫描任务,例如 samba 枚举、rdp 安全检查和手指工具等等。Sparta 配备了 nmap 兼容性,可启用 nmap 脚本扫描、密集或密集所有端口,也可以使用 Hydra 进行暴力破解
4.Brakeman
github链接:https://github.com/presidentbeef/brakeman
介绍:Ruby 的代码安全审计工具,用于检查 Ruby on Rails 应用程序的安全漏洞
开发语言:Ruby
推荐理由:Brakeman 可以在开发周期的任何时间运行,因为它只需要源代码,并且安装后需要零设置或配置,并且它也比黑盒扫描仪快得多,但只能静态扫描,不能动态扫描,同时它带有许多扫描选项,例如扫描指定路径,使每次扫描都在单个线程中运行或强制制动器在 Rails 3 或 4 中运行
5.SocialPwned
github链接:https://github.com/MrTuxx/SocialPwned
介绍:开源情报工具,允许从目标获取电子邮件,发布在 Instagram、Linkedin 和 Twitter 等社交网络上,以查找 PwnDB 或 Dehashed 中可能存在的凭据泄漏,并通过 GHunt 获取 Google 帐户信息
开发语言:python
推荐理由:公司员工在社交网络上发布电子邮件是很常见的,无论是专业的还是个人的,因此如果这些电子邮件的凭据泄露,则发现的密码可能已在审核环境中重复使用。如果不是这样,至少您会了解遵循此目标以创建密码并能够以更高的有效性执行其他攻击的模式。
6.FakeLogonScreen
github链接:https://github.com/bitsadmin/fakelogonscreen
介绍:一个伪造 Windows 登录屏幕以获取用户密码的实用程序
开发语言:C#
推荐理由:可通过简单地运行 .exe 文件来执行,将输入的密码根据 Active Directory 或本地计算机进行验证,以确保其正确,然后显示到控制台或保存到磁盘
7.httpx
github链接:https://github.com/projectdiscovery/httpx
介绍:一种对 Web 服务器进行指纹识别的工具
开发语言:go
推荐理由:httpx 是一个快速且多用途的 HTTP 工具包,它允许用户使用 retryablehttp 库运行多个探测器,它旨在通过增加线程来实现可靠和快速。除了查找 HTTP 服务器之外,httpx 还有许多静默功能,例如查找状态码、发现 vhost、从 CSP 中提取域等等
8.Nivistealer
github链接:https://github.com/swagkarna/Nivistealer
介绍:可窃取受害者图像的确切位置设备信息等等,适用于android,windows,linux,mac os
开发语言:python
推荐理由:操作简单方便,将生成的 Ngrok 链接发送到目标,通过单击链接发送给目标即可获得他们的所有信息。同时还可以窃取IP、窃取设备信息、从前置摄像头窃取照片、窃取IP使用 iframe 加载实时网站,使钓鱼攻击更可靠
9.Dalfox
github链接:https://github.com/hahwul/dalfox
介绍:一个强大的开源 XSS 扫描工具和参数分析器和实用程序,可加快检测和验证 XSS 缺陷的过程
开发语言:go
推荐理由:Dalfox 是一个基于 DOM 解析器的快速、强大的参数分析和 XSS 扫描器,是查找 XSS 和其他公共 Web 漏洞的快速工具。除了查找 XSS 之外,它还具有测试 sqli、ssti、open-redirects 的附加功能,能够找到反射、存储和盲 XSS,并且该工具提供的误报率极低
10.Gophish
github链接:https://github.com/gophish/gophish
介绍:开源网络钓鱼工具包,提供了快速轻松地设置和执行网络钓鱼活动和安全意识培训的能力,适用于 Windows、Mac 和 Linux
开发语言:go
推荐理由:操作敏捷,自带web面板,数据可视化,拥有设置发(收)件人的邮箱、创建钓鱼邮件模版、伪造钓鱼页面、发送钓鱼邮件的功能,并且在功能上实现分块,令钓鱼初学者能够更好理解钓鱼工作各部分的原理及运用
评论