- ابزاری برای اسکن آسیب پذیری های برنامه های وب

SQLiv
یک ابزار مفید برای اسکن آسیب پذیری های برنامه های وب است که به طور گسترده در زمینه امنیت اطلاعات استفاده می شود.

- این ابزار شامل اسکن برنامه های کاربردی وب برای آسیب پذیری های تزریق SQL است . یکی از مزایای کلیدی SQLiv سهولت استفاده و کارایی آن است.

#Tools #Vulnerabillity

https://github.com/the-robot/sqliv
@TryHackBox

WhatWeb
- ابزاری برای تجزیه و تحلیل برنامه های کاربردی وب

WhatWeb
یک ابزار موثر برای تجزیه و تحلیل برنامه های کاربردی وب است که هدرهای HTTP را تغییر می دهد، به دنبال تزریق SQL و سایر آسیب پذیری ها می شود.

— این ابزار توانایی شناسایی فناوری‌ها، فریم ورک ها و سایر ویژگی‌های برنامه‌های کاربردی وب را فراهم می‌کند و فرایند تجزیه و تحلیل آسیب‌پذیری‌ها و نقاط ضعف را تسهیل می‌کند.

#Tools #Vulnerabillity
https://github.com/urbanadventurer/WhatWeb
@TryHackBox

🖥 TLS Prober
- تجزیه و تحلیل TLS

ابزاری است که به طور خاص برای تجزیه و تحلیل امنیتی پروتکل TLS طراحی شده است.

- این ابزار قابلیت اسکن امنیت TLS را دارد. این به شناسایی نقاط ضعف در تنظیمات TLS کمک می کند و توانایی بهبود امنیت اطلاعات ارسال شده را فراهم می کند.

https://github.com/WestpointLtd/tls_prober

#Tools #Network
@TryHackBox

🖥 Reverse-Engineering
- ابزاری برای مهندسی معکوس

Reverse-Engineering
یک آموزش جامع مهندسی معکوس است که معماری های x86، x64، 32 بیتی ARM و 64 بیتی ARM را پوشش می دهد.

- این ابزار به شما امکان می دهد فرآیندی ایجاد کنید که توسط آن یک شی ساخته شده توسط انسان تجزیه می شود تا طراحی، معماری، کد آن را آشکار کند یا دانش را از شی استخراج کند . این شبیه به تحقیقات علمی است، تنها تفاوت این است که تحقیقات علمی در یک پدیده طبیعی انجام می شود.

https://github.com/mytechnotalent/Reverse-Engineering?tab=readme-ov-file
#Tools #Reverse
@TryHackBox

معرفی 10 بهترین #ابزار رایگان تست نفوذ وب 2022

ابزار zed attack proxy

کار عملی با ابزار zed attack proxy

ابزار w3af

کار عملی با w3af

ابزار arachni

کار عملی با arachni

ابزار wapiti

کار عملی با wapiti

ابزار Metasploit

ابزار vega

کار عملی با vega

ابزار Grabber

ابزار sqlmap

کار عملی با sqlmap

ابزار ratproxy

ابزار wfuzz

کار عملی با wfuzz

این پست و برای دوستانت که تشت نفوذ وب کار میکنند یا علاقه دارند بفرست
#tools
@TryHackBox

🔖  تیم PortSwigger ابزار SignSaboteur را معرفی کرده است که با آن می توانید به راحتی توکن های وب امضا شده را جعل کنید.

توکن های وب امضا شده به طور گسترده برای احراز هویت و مجوز stateless در وب استفاده می شوند. محبوب‌ترین فرمت JSON است، اما فراتر از آن، اکوسیستم استانداردهای پر رونقی وجود دارد که هرکدام دارای پیاده‌سازی خاص خود از ذخیره‌سازی داده و امنیت هستند.

ابزار جدید برای کمک به ارزیابی آنها طراحی شده است. این طراحی شده است تا حملات ذکر شده را خودکار کند و تضمین کند که دیگر پیکربندی های ناامن را از دست ندهید.

اطلاعیه
https://portswigger.net/research/introducing-signsaboteur-forge-signed-web-tokens-with-ease

#pentest #tools
@TryHackBox

⚒️ SigmaPotato
- ابزار افزایش دسترسی SeIpersonate برای Windows 8-11 و Windows Server 2012-2022 با پشتیبانی پیشرفته از PowerShell و بازتاب .NET

👉 GitHub
#redteam #tools
@TryHackBox

👩‍💻 یک خط برای پیدا کردن همه ی زیر دامنه های یک سایت تارگت و فهرست کردن هش های favicon.
مورد دوم را می توان همراه با Shodan برای پیدا کردن همه برنامه های کاربردی وب با استفاده از favicon یکسان استفاده کرد.

subfinder -d canva.com | httpx -favicon -j | jq -r .favicon | grep -v null | sort -u

#bugbounty #tips #recon #tools
@TryHackBox

🔖 KavehPassGen

https://github.com/Off3nsivePwn/KavehPassGen

این یک ابزار تولید پسورد لیست (Password List Generator) است. هدف این ابزار، تولید لیستی از پسوردهای احتمالی بر اساس اطلاعات شخصی و عمومی است که کاربر وارد می‌کند. این ابزار می‌تواند برای اهداف امنیتی مانند تست نفوذ (Penetration Testing) یا بازیابی پسوردهای فراموش شده استفاده شود.

ورودی‌های کاربر برای ایجاد پسورد :
کاربر اطلاعات مختلفی مانند شماره تلفن، تاریخ تولد، نام حیوان خانگی، نام خانوادگی، اعضای خانواده، علایق (مانند تیم ورزشی مورد علاقه، فیلم، کتاب و ...)، اطلاعات شغلی و تحصیلی،و حتی نمادها (Symbols) را وارد می‌کند.


کاربردهای این ابزار:
تست نفوذ: این ابزار می‌تواند برای تست امنیتی سیستم‌ها استفاده شود. با تولید لیستی از پسوردهای احتمالی، می‌توان سیستم‌ها را در برابر حملات Brute Force یا Dictionary Attack آزمایش کرد.

بازیابی پسورد:اگر کاربر پسورد خود را فراموش کرده باشد و اطلاعات شخصی مربوط به آن را به خاطر داشته باشد، می‌تواند از این ابزار برای تولید لیستی از پسوردهای احتمالی استفاده کند.

✍️ نوشته شده توسط : Kaveh
#tools
@TryHackBox

🔍 50 موتور جستجو برای هکرهای اخلاقی

#tools #pentest
@TryHackBox

🧐 آیا قبلاً خواسته‌اید به سرعت باگ‌های «HTTP Request Smuggling» را تست کنید؟

Smuggler
یک ابزار خودکار است که به شما در تشخیص آسیب‌پذیری‌های HTTP request smuggling و همچنین HTTP desync کمک می‌کند. دقت کنید، این ابزار ممکن است در برخی موارد نتیجه فالس (غلط) اعلام کند، به خاطر ذات پیچیده همین آسیب‌پذیری.

👉 GitHub

#tools #pentest #bugbounty
@TryHackBox

🔍 Merklemap
— یک موتور جستجوی جدید برای زیردامنه‌ها و گواهی‌های SSL/TLS. بهترین چیز وقتی که به شناسایی غیرفعال سریع نیاز دارید.

مثال:

=example.com, *ex*mple*, *.example.com

#tools #recon
@TryHackBox

ابزار ADKAVEH: شبیه‌سازی حملات و شناسایی در Active Directory با PowerShell

ADKAVEH یک اسکریپت PowerShell است که به تیم‌های امنیتی امکان شبیه‌سازی حملات و شناسایی در محیط‌های Active Directory را می‌دهد. این ابزار شامل ماژول‌هایی برای شبیه‌سازی حملاتی مانند Kerberoasting، AS-REP Roasting، Password Spraying و تست‌ های اختیاری برای غیرفعال‌سازی Windows Defender است.

https://github.com/TryHackBox/ADKAVEH

#tools #AD #RedTeam
@KavehOffSec
@TryHackBox

⚒️ آزمایش آسیب‌پذیری آپاچی - اسکریپت پایتون برای آزمایش آسیب‌پذیری‌های سرور HTTP آپاچی

درون PoC برای CVE-2024-38472, CVE-2024-39573, CVE-2024-38477, CVE-2024-38476, CVE-2024-38475, CVE-2024-38474, CVE-2024-38473 и CVE-2023-38709.

python3 poc_vulnerability_testing.py --target https://<target-ip>

GitHub
@TryHackBox
#tools #pentest

🛠 اکستنشن های کمکی برای تست نفوذ و امنیت وب

🔍 شناسایی تکنولوژی‌ها
• Wappalyzer
پروفایلر تکنولوژی - شناسایی CMS، فریمورک‌ها و کتابخانه‌های جاوااسکریپت

🎯 تست نفوذ و آنالیز
• Hackbar
افزونه تست نفوذ برای Chrome و Firefox
• OWASP Penetration Testing Kit
اسکن امنیتی برنامه‌های وب (DAST & SCA)
• KNOXSS Community Edition
ابزار کشف XSS

🔒 امنیت و اسکن آسیب‌پذیری
• Retire.js
اسکن کتابخانه‌های جاوااسکریپت آسیب‌پذیر
• Trufflehog
شناسایی خودکار API keys و credentials
• DotGit
تشخیص دایرکتوری‌های git در معرض دید
• Bishop Vulnerability Scanner
اسکنر سیستم‌های کنترل نسخه و ابزارهای ادمین

🌐 مدیریت درخواست‌ها و هدرها
• FoxyProxy
مدیریت آسان پروکسی سرور
• Modheader
تغییر هدرهای HTTP و URL
• Request Maker
ضبط، تغییر و ارسال درخواست‌های HTTP

🔎 جستجو و اوسینت
• Shodan
یافتن اطلاعات هاستینگ و پورت‌های باز
• Hunter
یافتن آدرس‌های ایمیل در وبسایت‌ها
• Mitaka
جستجوی IP، دامنه، URL و هش از طریق منو راست‌کلیک

⚡️ ابزارهای کمکی
• Open Multiple URLs
باز کردن چندین URL همزمان
• Cookie-Editor
مدیریت کوکی‌ها برای تب جاری
• S3 Bucket List
ثبت اکسپوز S3 buckets
• d3coder
انکود و دیکد متن (base64, rot13, ...)

✍️نویسنده
@TryHackBox | The Chaos
#BugBounty #Browser #Extension #Tools

⚒️🪲 تب‌های مفید Burp Suite

📌 Proxy
— ترافیک HTTP/S بین مرورگر شما و سرور را رهگیری و تحلیل می‌کند.
📌 Repeater
— اجازه می‌دهد درخواست‌های HTTP مشخص را چندبار ارسال، ویرایش و آزمایش کنید.
📌 Intruder
— برای تست‌های خودکار مثل حملات سِری (brute-force)، فازینگ (fuzzing) و سایر سناریوهای خودکار به کار می‌رود.
📌 Extender
— امکان افزودن افزونه‌های سفارشی یا پلاگین‌های شخص ثالث برای افزایش قابلیت‌ها را فراهم می‌کند.

@TryHackBox
#tools #BurpSuite

🔖 پنتست به روش «جعبه‌سفید»: دیباگ آسیب‌ پذیری‌ های Python

عمیقاً واردِ کشف آسیب‌پذیری‌ ها در اپلیکیشن‌ های وب نوشته‌شده به Python شوید و یاد بگیرید چگونه در VS Code دیباگ کنید تا پیلود را در سراسر فرایند دنبال کنید.

⭕ محتوای راهنما:

✅ نصب منابع لازم: VS Code، Python Debugger، Docker

✅ ساختار فایل

✅ کشف آسیب‌ پذیری‌ های Python

✅ آسیب‌ پذیری‌ های رایج در Python

✅ نکات برای بهبود تست به روش «جعبه‌سیاه» با استفاده از تحلیل کد

@TryHackBox | Github | YouTube | Group
#pentest #tools #python