ابزار های مورد نیاز مسابقات باگ بانتی

لیستی از ابزارهایی است که می تواند برای محققان برای کارهای مختلفی که باید انجام دهند مفید باشد. لطفا در صورت داشتن پیشنهاد برای منابعی که باید به این پست اضافه کنیم ، به ما اطلاع دهید!
ابزار های وب اپلیکیشن
مجموعه ای از ابزارهای مختلف را شامل میگردد که به منزلهٔ یکی از مفیدترین پلتفرمها برای تست نفوذ وب اپلیکیشنها است و تقریباً اکثر احتیاجات شما را در پروسهٔ تست نفوذ برطرف میکند.
پروکسی دیباگینگ وب، رایگان ، برای هر مرورگر ، سیستم یا سیستم عامل
ابزار کشف ساب دامنه ( زیر دامنه ها )
ابزار جستجوی دایرکتوری برای یافتن مسیرهای داخلی و خارجی وب.
این ابزار پروسه یافتن و اِکسپلویت کردن آسیبپذیری SQL Injection را اتوماتیک کرده است. SQLMap ابزاری اپنسورس و کراسپلتفرم است که تقریباً اکثر دیتابیسها را پشتیبانی میکند.
مانند ابزار Sqlmap برای شناسایی مشکلات موجود در ارتباط با پایگاه داده و تلاش برای نفوذ از طریق تزریق کدهای مخرب
SQLiPy یک افزونه Python برای Burp Suite است که SQLMap را با استفاده از API SQLMap ادغام می کند.
مانند ابزار Sqlmap برای شناسایی مشکلات موجود در پایگاه داده No SQL و تلاش برای نفوذ از طریق تزریق کدهای مخرب
یک افزونه بسیار کاربردی برای هکر ها که بسیاری از حملات به صورت دستی را برای هکر و نفوذگر اسان میکند
این افزونه یک ابزار بسیار قوی برای حملات مختلفی از جمله xss , sql i میباشد . کار افزونه به طور کلی ساخت محیطی بهتر برای نمایش url یا همان ادرس سایت و تزریق به url از متد های post , get همچنین با امکان بایپس و انجام حملات پیشرفته است .
زیر دامنه ها یک آدرس را از طریق لیست کلمه (wordlist) در دامنه پیدا می کند
The Zed Attack Proxy (ZAP) By OWASP
نسخه معادل رایگان و متن باز Burp Pro Proxy ابزار OWASP Zap Proxy (یا همان OWASP Zed Attack Prox) میباشد . هرچند که Burp ابزاری تجاری هست و واقعاً ابزار کاملی است ولی ابزار OWASP Zap Proxy بسیاری از ویژگیهای مشابه را دارد . این ویژگیها شامل پروکسی کردن ترافیک ، درخواست های فازینگ ، کاوش و اسکن اتوماتیک و .. میباشند .
OWASP SKANDA – SSRF Exploitation Framework
Skanda یک چارچوب بهره برداری از آسیب پذیری SSRF است. نسخه فعلی Cross Site Port Attack را روی یک برنامه آسیب پذیر انجام می دهد و پورت های باز را کشف می کند. نسخه های بعدی حملات پیشرفته ای مانند کشف میزبان شبکه ، کشف سرویس و تشخیص و بهره برداری از آسیب پذیری سطح سرویس را از طریق SSRF انجام می دهند.
در اکثر واحدها جدول ASCII را با کدهای اعشاری ، اکتالی و هگزا برای هر کاراکتر به شما می دهد
اسکنر امنیتی رایگان و منبع باز
جمع آوری لیست های مختلف با استفاده از ارزیابی های امنیتی
برای شکستن پسورد ها
این ابزار از XXE برای بازیابی پرونده ها از سرور هدف سوء استفاده می کند. این لیست های فهرست را به دست می آورد و به صورت بازگشتی محتوای فایل را بارگیری می کند
ابزار های موبایل اپلیکیشن
برای تبدیل پرونده های dex به jar برای تجزیه مجدد برنامه مفید است
Appium ابزاری منبع باز برای خودکارسازی برنامه های بومی ، وب موبایل و ترکیبی در سیستم عامل های iOS و Android است
فریمورک دستگاه iOS
مهندسی معکوس فایلهای اندروید apk
مهندسی معکوس بسته های اندروید APK
دیگر ابزار ها
- MITMproxy
- Mona.py
- GoBuster
- R Project for Statistical Computing
- Apache Spark
- PhantomJS
- Hackvertor
- JSBeautifier
شکارچیان باگ تمام وقت از ابزارهایی برای اتوماتیک کردن وظایف خاص استفاده می کنند ، اما در حین پیشرفت ، مهم است که هنگام شکار ، شروع به نوشتن اسکریپت ها و ابزار های شخصی خود کنید. مهمترین نکته این است که به ابزارهای خود اعتماد نکنید ، مطمئن شوید که واقعاً می دانید که این ابزارها چه کاری در پس زمینه انجام می دهند. . لیست کاملی از ابزارها bug bounty forum قرار داده است.
مطالب زیر را حتما بخوانید:

برای اینکه واقعاً چگونگی نوشتن یک سیاست امنیتی خوب را توضیح دهیم ، از سیاست امنیتی Security.txt به عنوان نمونه استفاده خواهیم کرد. شرح پروژه خط مشی امنیتی...

بر اساس ادعاهای مطرح شده بر ضد اینستاگرام مبنی بر عدم محافظت کافی از اطلاعات کودکان، اتحادیه اروپا این شبکه اجتماعی را تحت پیگرد قانونی قرار داد. طبق این اتهام،...

در فرآیند توسعه نرم افزارها، همیشه خطاها و یا نقص های نرم افزاری دیده می شوند که به آن ها باگ یا Bug می گویند. تقریبا هیچ برنامه نویسی در...

یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne...

اگر علاقه دارید وارد دنیای جذاب امنیت سایبری بشید ولی نمی دونید از کجا شروع کنید، این مقاله ممکنه براتون مفید باشه. ورود به دنیای امنیت و انتخاب یک فیلد...

سیستمهای تشخیص نفوذ که به منظور کشف فعالیت های مشکوک می توانند بر فعالیت های شبکه های رایانه ای نظارت کرده و آنها را تجزیه و تحلیل کنند، در واقع...

یکی از چالش برانگیزترین مراحل هنگام اجرای برنامهbug bounty ، اغلب تعیین میزان پاداش است. دلیل این امر این است که عوامل بسیاری در این فرآیند دخیل هستند. هدف اصلی...

بر اساس گفتههای کارشناسان امنیت سایبری، انتظار می رود در چند هفته آینده تعداد تهدیدهای امنیتی مرتبط با DNS (سرویس نام دامنه که وظیفه آن تبدیل نام دامنه به آدرس...

در سالهای اخیر پیشرفت تکنولوژی و در کنار آن تهدیدات سایبری منجر به تشکیل بخش اجتنابناپذیر فناوری اطلاعات در تمام سازمانها دولتی و شرکتهای خصوصی شده است. این بخشها، به...

باگ بانتی چیست ؟ به دلیل تغییرات زیاد محصولات و خدمات در یک سازمان و همچنین کمبود نیروی انسانی در حوزه امنیت، بصورت معمول تست نفوذ بصورت دوره ای در...

جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستمهای اطلاعاتی (ISSA) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد...

برخی از این نکات ممکن است واضح به نظر برسند ، اما برای تعامل هر چه بهتر با برنامه های bug bounty مهم هستند. توجه همیشه به تیم برگزار...

- جهت دانلود سریع از VPN استفاده نکنید..
- تمامی فایل ها قبل از درج بررسی شده اند.
- لینک دانلود از دو سرور مختلف است.
- امکان قطع دانلود فایل ها وجود دارد.
- جهت دانلود از IDM استفاده کنید..
- در صورت نیاز با ما تماس بگیرید.
اندازه فایل
نوع فایل
قوانین ارسال دیدگاه در سایت