Web安全

Awesome Web Security Awesome

>网络安全材料和资源的精选列表.

不用说,大多数网站都遭受各种错误,最终可能导致漏洞. 为什么这种情况经常发生? 可能涉及许多因素,包括配置错误,工程师的安全技能不足等.为解决此问题,这里有一份精选的Web安全材料和资源列表,用于学习前沿的渗透技术,我强烈建议您阅读本文“So you want to be a web security researcher?“首先.

请阅读 contribution guidelines 在捐款之前.


想增强您的渗透能力吗?
我建议玩一些awesome-ctf .


如果您喜欢这个很棒的清单并想支持它,请查看我 Patreon 页面:)
另外,别忘了检查我 repos 或对我说“嗨” Twitter!

Forums

Introduction

Tips

XSS - Cross-Site Scripting

CSV Injection

SQL Injection

Command Injection

ORM Injection

FTP Injection

XXE - XML eXternal Entity

CSRF - Cross-Site Request Forgery

Clickjacking

SSRF - Server-Side Request Forgery

Web Cache Poisoning

Relative Path Overwrite

Open Redirect

Security Assertion Markup Language (SAML)

Upload

Rails

AngularJS

ReactJS

SSL/TLS

Webmail

NFS

AWS

Azure

Fingerprint

Sub Domain Enumeration

Crypto

Web Shell

OSINT

Books

DNS Rebinding

Evasions

XXE

CSP

WAF

JSMVC

Authentication

Tricks

CSRF

Clickjacking

Remote Code Execution

XSS

SQL Injection

NoSQL Injection

FTP Injection

XXE

SSRF

Web Cache Poisoning

Header Injection

URL

Others

Browser Exploitation

Frontend (like SOP bypass, URL spoofing, and something like that)

Backend (core of Browser implementation, and often refers to C or C++ part)

PoCs

Database

Tools

Auditing

Command Injection

Reconnaissance

OSINT - Open-Source Intelligence

Sub Domain Enumeration

Code Generating

Fuzzing

Scanning

  • wpscan -WPScan是黑匣子WordPress漏洞扫描程序,由 @wpscanteam.
  • JoomlaScan -免费软件,用于查找Joomla CMS中安装的组件,这些组件由Joomscan的灰烬构建而成, @drego85.
  • WAScan -是使用“黑匣子”方法创建的开源Web应用程序安全扫描程序,由 @m4ll0k.

Penetration Testing

Offensive

XSS - Cross-Site Scripting

  • beef -通过的浏览器开发框架项目 beefproject.
  • JShell -通过XSS获得JavaScript shell @s0md3v.
  • XSStrike -XSStrike是一个程序,可以模糊和暴力破解XSS的参数. 它还可以通过以下方式检测和绕过WAF: @s0md3v.
  • xssor2 -XSS'OR-使用JavaScript入侵 @evilcos.

SQL Injection

  • sqlmap -自动SQL注入和数据库接管工具.

Template Injection

  • tplmap -代码和服务器端模板注入检测和利用工具 @epinna.

XXE

Cross Site Request Forgery

Server-Side Request Forgery

Leaking

Detecting

  • sqlchop -SQL注入检测引擎 chaitin.
  • xsschop -XSS检测引擎 chaitin.
  • retire.js -扫描程序通过以下方式检测对已知漏洞的JavaScript库的使用: @RetireJS.
  • malware-jail -沙箱,用于通过以下方式进行半自动的Javascript恶意软件分析,去混淆和有效载荷提取 @HynekPetrak.
  • repo-supervisor -扫描您的代码以检查安全性配置错误,搜索密码和机密.
  • bXSS -bXSS是一个简单的Blind XSS应用程序,适用于 cure53.de/m 通过 @LewisArdern.
  • OpenRASP -百度公司积极维护的开源RASP解决方案.借助上下文感知检测算法,该项目几乎没有出现误报. 在高服务器负载下,性能下降不到3%.
  • GuardRails -GitHub应用程序,可在请求请求中提供安全性反馈.

Preventing

  • DOMPurify -HTML,MathML和SVG的仅DOM,超快速,超耐性XSS消毒剂,由 Cure53.
  • js-xss -使用白名单指定的配置对不受信任的HTML进行清理(以防止XSS) @leizongmin.
  • Acra -用于SQL数据库的客户端加密引擎,具有强大的选择性加密,防止SQL注入和入侵检测功能 @cossacklabs.

Proxy

  • Charles -HTTP代理/ HTTP监视器/反向代理,使开发人员可以查看其计算机与Internet之间的所有HTTP和SSL / HTTPS通信.
  • mitmproxy -面向渗透测试人员和软件开发人员的交互式TLS拦截HTTP代理功能 @mitmproxy.

Webshell

Disassembler

Decompiler

DNS Rebinding

  • DNS Rebind Toolkit -DNS Rebind Toolkit是一个前端JavaScript框架,用于通过以下方式开发针对局域网(LAN)上易受攻击的主机和服务的DNS Rebinding攻击: @brannondorsey
  • dref -DNS重新绑定开发框架. Dref为DNS重新绑定做了繁重的工作 @mwrlabs
  • Singularity of Origin -它包含必要的组件,以将攻击服务器DNS名称的IP地址重新绑定到目标计算机的IP地址,并提供攻击有效载荷以通过以下方式利用目标计算机上的易受攻击的软件 @nccgroup
  • Whonow DNS Server -恶意DNS服务器,用于通过以下方式即时执行DNS重新绑定攻击 @brannondorsey

Others

Social Engineering Database

使用后果自负

Blogs

Twitter Users

Practices

Application

AWS

XSS

ModSecurity / OWASP ModSecurity Core Rule Set

Community

Miscellaneous

Code of Conduct

请注意,此项目发布时带有 Contributor Code of Conduct . 通过参与该项目,您同意遵守其条款.

License

CC0

在法律允许的范围内, @qazbnm456 放弃了此作品的所有版权以及相关或邻近的权利.