Web 攻击工具

相关源文件

• hackingtool.py
• tools/others/mix_tools.py
• tools/webattack.py
• tools/xss_attack.py

本文档全面概述了 hackingtool 存储库中的 Web Attack Tools 模块。Web Attack Tools 是一系列旨在测试和利用 Web 应用程序漏洞的实用程序。有关更具体的跨站脚本攻击工具，请参阅XSS 攻击工具。

概述

Web Attack Tools 模块是 hackingtool 中的一个专业集合，提供了用于 Web 应用程序渗透测试的各种实用程序。这些工具使安全专业人员能够扫描漏洞、枚举子域、检测恶意 URL 以及执行目录暴力破解等与 Web 相关的安全测试功能。

Hackingtool 架构中的 Web Attack Tools

来源： hackingtool.py44-68 tools/webattack.py101-112

类结构

Web Attack Tools 模块遵循 hackingtool 存储库中通用的架构模式，利用核心模块中的基类。

来源： tools/webattack.py1-113

可用工具

Web Attack Tools 模块包含七个不同的工具，每个工具都针对 Web 应用程序安全测试的特定方面

1. Web2Attack

一个全面的 Web 黑客框架，包含用 Python 实现的多个工具和漏洞利用。

技术细节

• 标题： Web2Attack
• 描述： 使用 Python 进行的 Web 黑客框架，包含工具和漏洞利用
• 安装： 从 GitHub 克隆存储库
• GitHub 存储库： https://github.com/santatic/web2attack.git

来源： tools/webattack.py8-14

2. Skipfish

一个主动的 Web 应用程序安全侦察工具，可执行全自动、高速的 Web 安全检查。

技术细节

• 标题： Skipfish
• 描述： 全自动、主动的 Web 应用程序安全侦察工具
• 用法： skipfish -o [FolderName] targetip/site
• 注意：此工具已预装在 Kali Linux 中，无法通过框架安装

来源： tools/webattack.py17-28

3. SubDomain Finder (Sublist3r)

一个使用 OSINT（开源情报）来枚举网站子域的 Python 工具。

技术细节

• 标题： SubDomain Finder
• 描述： 使用 OSINT 技术枚举子域
• 安装： 安装依赖项并克隆存储库
• 使用示例
  • python3 sublist3r.py -d example.com
  • python3 sublist3r.py -d example.com -p 80,443
• GitHub 存储库： https://github.com/aboul3la/Sublist3r

来源： tools/webattack.py31-44

4. CheckURL

一个安全工具，用于检测使用 IDN 欺骗攻击技术冒充合法域名的恶意 URL。

技术细节

• 标题： CheckURL
• 描述： 检测使用 IDN 欺骗攻击的恶意 URL
• 用法： python3 checkURL.py --url google.com
• GitHub 存储库： https://github.com/UndeadSec/checkURL

来源： tools/webattack.py47-54

5. Blazy

一个现代登录页面暴力破解工具，具有检测 ClickJacking 漏洞的附加功能。

技术细节

• 标题： Blazy（也查找 ClickJacking）
• 描述： 现代登录页面暴力破解工具
• 安装： 克隆存储库并安装 Python 依赖项
• GitHub 存储库： https://github.com/UltimateHackers/Blazy

来源： tools/webattack.py57-65

6. SubDomain TakeOver

一个用于检测和利用子域劫持漏洞的工具，当子域指向已删除或不再使用的服务时会发生此漏洞。

技术细节

• 标题： Sub-Domain TakeOver
• 描述： 检测子域劫持漏洞
• 用法： python3 takeover.py -d www.domain.com -v
• GitHub 存储库： https://github.com/edoardottt/takeover
• 注意：此工具被标记为无法直接通过界面运行

来源： tools/webattack.py68-82

7. Dirb

一个 Web 内容扫描器，使用基于字典的技术来查找隐藏的 Web 对象和目录。

技术细节

• 标题： Dirb
• 描述： 查找现有和隐藏的 Web 对象的 Web 内容扫描器
• 安装： 克隆存储库并从源文件编译
• 用法： 交互式提示输入 URL，然后对其进行扫描
• GitLab 存储库： https://gitlab.com/kalilinux/packages/dirb

来源： tools/webattack.py84-98

在 Hackingtool 中实现

Web Attack Tools 是作为 hackingtool 模块化架构的一部分实现的。下表显示了 WebAttackTools 类的关键属性

属性	值
类名	WebAttackTools
继承自	HackingToolsCollection
标题	“Web 攻击工具”
工具	7 个工具实例列表

这些工具在 tools/webattack.py104-111中进行实例化和添加。

然后，在 hackingtool.py51中将WebAttackTools集合集成到主 hackingtool 应用程序中。

使用流程

来源： hackingtool.py74-107 tools/webattack.py101-112

相关工具类别

Web Attack Tools 模块得到了 hackingtool 存储库中几个相关工具类别的补充

1. XSS 攻击工具 - 用于跨站脚本攻击的专用工具。更多详情请参阅XSS 攻击工具。
2. 网络钓鱼攻击工具 - 用于创建和管理网络钓鱼活动的工具。更多详情请参阅网络钓鱼攻击工具。
3. SQL 注入工具 - 用于检测和利用 SQL 注入漏洞的工具。

总结

Web Attack Tools 模块提供了全面的 Web 应用程序安全测试实用程序集。从 Sublist3r 和 Dirb 等侦察工具到 Web2Attack 等漏洞利用框架，该集合涵盖了 Web 安全测试的各个方面。模块化架构允许轻松地添加新工具，并与主 hackingtool 界面无缝集成。

来源： tools/webattack.py1-113 hackingtool.py24-51