信息安全初步集:包括信息安全博客、认证、课程、社区、播客、工具等
WebGoat漏洞练习环境
DoraBox,多拉盒 - 掌握常见漏洞攻防
一个功能很全的CTF平台
针对Pentest或者CTF的一个fuzz payload项目。
Web安全实战:日安全-Web安全攻防小组关于Web安全的系列文章分享和HTB靶场
upload-labs很全的上传上传漏洞的靶场
跟踪真实漏洞相关靶场环境搭建
H1ve是一款自研CTF平台,同时具备解题、攻防对抗模式。
使用docker快速搭建各大漏洞靶场,目前可以一键搭建17个靶场。
🚀Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。
数据库注入练习平台
用node编写的漏洞练习平台,like OWASP Node Goat
基于的漏洞场景还原
Ruby编写的一款工具,生成含漏洞的虚拟机
metasploitable3
轻量web漏洞演示平台
docker搭建的漏洞练习环境
黑客技术训练环境
web及app渗透训练平台
DevSecOps技能训练营
injectify 生成一个便捷的高级中间人攻击Web站点
针对ctf线下赛流量抓取(php)、真实环境流量抓取分析的工具
permeate:一个用于渗透透测试演练的WEB系统,用于提升寻找网站能力,也可以用于web安全教学
基于Docker-Compose的漏洞预构建环境
Ackazon是一个免费的,漏洞测试在线web站点,其构建方式与当今的富客户端和移动应用程序中使用的技术相同。
Google2019CTF web 解题思路
2018 第一届安洵杯 题目环境/源码
google-ctf 包括2017和2018全部试题和答案
HCTF2017题目及解析
CTF挑战平台
CTF和安全工具大合集
近年CTF writeup大全
HITB CTF 2017 Pwn题研究
脸谱CTF竞赛平台Demo
CTF框架、类库、资源、软件和教程列表
CTF的题集
CTF资源
CTF从入门到了解各种工具
p4团队的CTF解决方案
ctftools 在线CTF信息网站,包括资源下载、在线工具、信息blog等
🔐 All Security Engineering Resources
备考 OSCP 的各种干货资料/渗透测试干货资料
OSCPRepo:This is a list of resources and scripts that I have been gathering (and continuing to gather) in preparation for the OSCP.
Collection of things made during my OSCP journey
A comprehensive guide/material for anyone looking to get into infosec or take the OSCP exam
Penetration Testing Reference Bank - OSCP / PTP & PTX Cheatsheet
A curated list of awesome OSCP resources
An archive of everything related to OSCP
A list of the resources I use as I get ready for the exam
OSCP cheat sheet
OSCP-Human-Guide
Good For OSCP Training
This is my cheatsheet and scripts developed while taking the Offensive Security Penetration Testing with Kali Linux course.
OSCP-60daysOSCP (Offensive Security Certified Professional)
OSCP-Cheatsheet
GitBook: OSCP RoadMap
OSCP-Automation:A collection of personal scripts used in hacking excercises.
A random set of 5 machines for OSCP
Windows privilege escalation (enumeration) script designed with OSCP labs (legacy Windows) in mind
Collection of things made during my preparation to take on OSCE
Some exploits, which I've created during my OSCE preparation.
Used for the osce exam preparation
📙 Markdown Templates for Offensive Security OSCP, OSWE, OSCE, OSEE, OSWP exam report
A list of freely available resources that can be used as a prerequisite before taking OSCE.
扫描神器Nmap
Nmap NSE脚本推荐
Awesome Burp Extensions
基于WEB的内网扫描
子域名扫描工具
OneForAll是一款功能强大的子域收集工具
BBScan是一个迷你的信息泄漏批量扫描脚本
探测Waf产品的指纹信息
基于端口的漏扫及CVE关联
分布式任务分发端口扫描器
常见服务端口弱口令扫描器
内部网络扫描器
通过扫描全网绕过CDN获取网站IP地址
集成Nmap的一款端口扫描器
便捷的自动化漏洞扫描,报告和分析工具
对公网IP列表进行端口服务扫描,发现周期内的端口服务变化情况和弱口令安全风险
Burp Suite的自动化盲注搜索插件
综合扫描工具,主要用来敏感文件探测(目录扫描与js泄露接口),WAF/CDN识别,端口扫描, 指纹/服务识别,操作系统识别,弱口令探测,POC扫描,SQL注入,绕过CDN,查询旁站等功能
Nessus扫描自动化生成中文漏洞报告
Tsunami谷歌开源的具有可扩展插件系统的通用网络安全扫描程序,可用于高置信度地检测高严重性漏洞。(java,基于nmap和ncrack)
Golang开发的交互式网络扫描器,
信息探测及扫描工具(DNS及邮件枚举等)
子域名扫描器
子域名字典组合生成及暴力破解器
固件漏洞扫描器
远程桌面登录扫描器
网络基础设施渗透工具(集成nmap和hydra等)
快速地SNMP抢注,枚举,CISCO配置下载,密码攻击脚本
linux漏洞扫描器
被动式漏洞扫描系统
MongoDB漏洞扫描器
Automated script for performing Padding Oracle attacks
利用ARP探测内网位置设备
自动漏扫
WPScan 漏洞扫描系统的一个fork
安全行业从业人员自研开源扫描器合集
指纹服务,漏洞发现,WebDAV扫描
快捷友好的网络扫描器
扫描Tor exit relasy的模块
DNS监控套件
AIRMASTER: 红蓝对抗中对过期域名发现和利用
perl脚本评估远程服务的安全设置 (AKA Terminal Services)
Joy思科开源的网络包扑捉、网络流量分析、网络研究取证及安全监控的工具。
web日志扫描工具
自动扫描内网数据库扫描脚本(mysql、mssql、oracle、postgresql、redis、mongodb、memcached、elasticsearch),包含未授权访问及常规弱口令检测
A Simple and Comprehensive Vulnerability Scanner for Containers, Suitable for CI
被动扫描器 Passive Security Scanner
WEB应用攻击预防和审计框架,开源WEB漏洞扫描
WEB路径扫描
网站指纹识别工具,用来检测网站CMS类型,所采用的博客系统类型,JS库,web服务器,甚至版本号,email地址,web框架等
一款爬虫框架,用来检测网站是否被恶意攻击过
AWVS10.5 data/script/目录下的脚本docode
wordpress漏洞扫描器
discuz论坛漏洞扫描器
J2EE漏洞扫描器burp插件
Ruby on Rails应用静态分析工具
网络空间指纹扫描器
xsec-proxy-scanner是一款速度超快、小巧的代理扫描器
WEB服务扫描
WEB主机发现小工具
WEB扫描器
web应用安全扫描器
漏洞扫描:st2、tomcat、未授权访问等等
一个简单WEB中间件扫描
ruby源码扫描工具
Get、Post参数扫描器
路径扫描器
WEB路径扫描
FindBugs插件用于Java web应用和安卓应用的安全审计
GitHub敏感信息扫描工具
mozilla的GitHub配置信息检查工具和程序集
GitLeak 是一个从 Github 上查找密码信息的小工具 /~
一款兼容bugscan插件的扫描器 /~
Golang安全扫描 /~
Golang写的命令行工具发现git仓库中不小心泄露的密码,私有证书等 /~
侦察和信息收集安全工具 /~
问脉是一个扫描镜像内敏感信息、弱口令、恶意样本、异常历史命令、后门的检测工具集 /~
sslscan tests SSL/TLS enabled services to discover supported cipher suites /~
安全项目列表 /~
web索引及日志搜索工具 /~
一款CS结构的web debuger /~
sqlite注册数据删除的恢复 /~
自动化的模板注入攻击检测工具 /~
简单的linux发行版安全监控脚本 /~
百宝箱——工具集合 /~
CIDRAM (无类别域间路由访问管理器)是一个PHP脚本,旨在保护网站途经阻止请求该从始发IP地址视为不良的流量来源. /~
Android-Vulnerabilities-Overview - 已知安卓漏洞预览 /~
Framework-agnostic包给Node.js提供强大的ACL能力 /~
快速启动kolide Kolide /~
Vendor-Neutral Security Tool Automation Controller (over REST) /~
全天候 DevOps - 安全监控和防御自动化架构(ELK + AWS Lambda) /~
ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统 /~
安全开发运维:devsecops.org社区贡献的权威devsecops工具列表 /~
API安全检查清单:当你设计、测试、发布API时,需要核对的安全细节清单 /~
Pcaptools:流量处理的命令集、捕获工具、分析检查、DNS配置等工具资源 /~
Capturing, analysing and responding to cyber attacks /~
安卓安全加固列表 /~
awesome-container-security 容器安全列表 /~
OS X和iOS安全:OS X和iOS安全工具集合 /~
Runtime Mobile Security (RMS):一个功能强大的Web界面,可帮助您在运行时操纵Android Java类和方法 /~
为日常搜集的勒索病毒解密工具的汇总 /~
应急响应实战笔记 /~
一款开源WAF /~
Useful for bug bounties, CTF-style challenges, penetration testing. /~
开源WAF,基于web日志进行非法访问渗透探测,并进行统计分析,设置阈值封禁 /~
基于区块链的AUR安全层 /~
Secure and fast microVMs for serverless computing. /~
Secrets bridge - Docker 构建时安全 /~
Windows 2012 R2 兼容DevSec Windows基线的cookbook /~
Apache防御模块,支持漏洞扫描,防恶意软件,防广告, 防勒索软件, 防恶意站点, Wordpress主题探测和Fail2Ban Jail等。 /~
Jenkins OWASP独立检查插件 /~
Joomla强注防止插件 /~
使用aws KMs的命令行加密工具,加密一次,可以在多区域的aws多实例中解密 /~
互联网漏洞管理、资产管理、任务扫描、todoLIST /~
Open-Source Security Architecture|开源安全架构 /~
噪声协议的Rust语言实现 /~
DigSig-ng 一个linux内核安全模块,为ELF可执行程序和共享库提供RSA数字签名验证 /~
开源安全项目清单 /~
DevSec MySQL安全基线 /~
PowerShell脚本监控活动目录,当成员关系变更时候发邮件 /~
评估嵌入式设备CPU的安全性 /~
KeyGen 生成证书和密码 /~
AWS Big Brother 一个分析IAM用户的工具 /~
sqli词法解析分析器 /~
非法IP每日跟新(with blacklist hit scores) /~
Windows事件日志分析及可视化,审计非法登陆 /~
GScan: 旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。 /~
CaptfEncoder 跨平台网络安全工具套件,提供网络安全相关编码转换、古典密码、密码学、特殊编码等工具,并聚合各类在线工具。 /~
PowerShell模糊处理检测框架 /~
Symfon安全组件子库 /~
CSRF保护库: php预防CSRF类库 /~
VirusTotal公共,私有,网络接口 /~
新服务器的最初5分钟,用单行命令加固你的服务器 - Ansible playbook /~
Red Team SIEM - easy deployable tool for Red Teams used for tracking and alarming about Blue Team activities as well as better usability in long term operations.
扩多GCP项目的防火墙加强工具集 /~
3600Kee团队的域安全入侵感知系统 /~
Linux安全基线,支持puppet、chef和Ansible做安全加固 - InSpec Profile /~
Nginx配置分析工具,防止错误配置,并实现自动缺陷检测 /~
GPS欺骗检测工具 /~
CloudFront域名误配置检查工具 /~
Cyber瑞士军刀:加解密、编码、压缩以及数据分析的web应用。 /~
应急处置响应框架 /~
secure-ls 高水平加密和数据压缩的本地安全存储 /~
容器安全镜像Liter,帮助构建最好的Docker镜像 /~
有关linux容器安全,命名空间,cgroups等等的gitbook /~
python写的运行在树莓派上安防系统,可以进行运动检测,并通过手机告警 /~
airgeddon -- linux下多用户的bash脚本无线网络审计 /~
Laravel网页认证访问 /~
nginx安全配置chef bookbook /~
proxy poc implementation of STARTTLS stripping attacks /~
web安全开发指南 /~
自动化代码审计工具 /~
白盒源代码审计工具(cobra分支) /~
Grep rough audit - 源码审计工具 /~
AWS云基础设施安全审计工具 /~
python编写的离线网络数据包分析器 /~
渗透测试常见小工具打包 /~
各知名厂商渗透测试报告模板 /~
安全工具合集 /~
巡风 --一款适用于企业内网的漏洞快速应急,巡航扫描系统。 /~
Fuxi-Scanner 是一款开源的网络安全检测工具,适用于中小型企业对企业信息系统进行安全巡航检测 /~
Elasticsearch API安全发布到公网插件 /~
apache实时日志分析器(on Telegram, Zabbix and Syslog/SIEM) /~
PHP代码审计扫描器 /~
PHP代码审计sublime插件:🐛 AFind-PHP-Vulnerabilities /~
linux恶意代码检测包 /~
操作系统运行指标可视化框架 /~
Log-Killer 服务器日志清理工具,支持window(bat)和linux(php)脚本 /~
Mac OS下取证工具 /~
六道 —— 实时业务风控系统 /~
Aswan——陌陌风控系统静态规则引擎,零基础简易便捷的配置多种复杂规则,实时高效管控用户异常行为。 /~
360数据库流量审计MySQL Sniffer /~
强大的mongodb数据库审计和渗透工具 /~
基于Inception开发的MySQL数据库审核平台,支持审核、执行、备份、回滚、钉钉推送、mysql、redis、mongodb查询等功能 /~
恶意代码分析系统 /~
定期搜索及存储web应用,可搜漏洞讨论等等 /~
事件响应框架(focus on 远程取证) /~
Mozilla防守平台 /~
企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能 /~
win内网_域控安全 /~
静态代码审计系统 /~
强大的观察分析引擎 /~
iptables 防火墙规则集分析验证 /~
综合主机监控检测平台(包含主机防火墙,日志监控,SIEM等) /~
OS X远程取证与分析工具包 /~
分布式实时数字取证系统 /~
Microsoft及Unix文件系统及硬盘取证工具 /~
开源安全合规解决方案 /~
JVM沙箱容器,一种JVM的非侵入式运行期AOP解决方案 /~
开源准实时日志采集器 /~
windows实时ETW事件处理工具 /~
CPU及内存相关性能分析工具 /~
SSH服务审计工具 /~
Python库和命令行工具,提供交互式日志可视化 /~
OSCP推出安全侦察工具,实现自动化信息收集和服务枚举,创建目录结构以存储用于每个主机的结果,发现和利用工具。 /~
一个僵尸网络分析框架 /~
WAFS审计工具 /~
1000个php代码审计案例 /~
基于Python的Linux ssh跳板机/堡垒机设置工具 /~
Linux常见命令及部分安全软件使用命令列表 /~
ssrfDetector ssrf探测器 /~
fwd 用go开发的网络端口代理 /~
dev-sec安全基线和加固脚本 /~
使用AngularJS和AJA的Symfony应用CSRF自动探测工具 /~
设计用于CDN的高性能DNS缓存 /~
BleachBit Windows和Linux系统清理器 /~
Universal Radio Hacker: 无线协议分析 /~
PHP后门检测工具 /~
Unix系操作系统安全审计和加固工具 /~
利用vulners.com漏洞数据库的包审计套件 /~
垃圾邮件分析工具 /~
恶意代码,php shell检测工具 /~
一款精简版github信息泄露搜集工具 /~
安全程序和漏洞管理工具 /~
HaboMalHunter是哈勃分析系统 ( 的开源子项目, 用于Linux平台下进行自动化分析、文件安全性检测的开源工具 /~
混淆代码检测工具 /~
webshell检测工具 /~
社区驱动的Rails安全检查列表 /~
radius-audit - A RADIUS authentication server audit tool /~
Fathom——基于golang和Preact的简单可信的站点分析 /~
GO HTTP中间件来推进快速安全开发 /~
InSpec: 测试和审计框架 /~
retire.js的自动扫描器,扫描探测常见的JS库漏洞 /~
Suricata 一个自由开源地,成熟、快速自动化的网络威胁探测引擎 /~
AWS安全扫描检查 /~
aws-security-viz -- aws安全组可视化工具 /~
使用NACL和Go的安全交互密码管理 /~
Hound Git插件通过探测阻止敏感信息被push到远程公有仓库导致信息泄密 /~
GitHub敏感信息泄露监控 /~
HULK DoS工具从Python迁移到Golang /~
大数据安全检测工具 /~
个人安全checklist /~
SQL 审核查询平台 /~
pick -- Linux和OS X最小化密码管理工具 /~
一个基于浏览器端 JS 实现的在线代理 /~
基于EK的K8s安全监控方案 /~
CloudWalker(牧云)是长亭推出的一款开源服务器安全管理平台。根据项目计划会逐步覆盖服务器资产管理、威胁扫描、Webshell 查杀、基线检测等各项功能。 /~
MITRE攻击框架对应的Linux Auditd 审计规则 /~
⭐️ An anomaly-based intrusion detection system. /~
AntiRansom:Fighting against ransomware using honeypots /~
悟空API网关 开源版 /~
Hamburglar -- collect useful information from urls, directories, and files /~
ElkarBackup 一个基于RSync/RSnapshot的开源备份方案 /~
SSH服务端和客户端安全配置的chef cookbook /~
Nextcloud 双因子TOTP (RFC 6238) /~
WireGuard — 快速、现代、linux内核只带的安全VPN通道 /~
BoringTun WireGuard® 协议的兼容性和速度性实现,支持window /~
wireguard一键安装脚本 /~
Nixarmor Linux自动安全加固项目 /~
SaaS型初创企业安全101 /~
phpMusse 这是一个根据ClamAV的签名和其他签名对上传文件自动检测的PHP脚本 /~
Black Hat Arsenal 官方工具仓库 /~
windows渗透工具集合 /~
windows最佳渗透指南 /~
从内存中提取敏感信息的工具 /~
windows渗透神器 /~
在线渗透测试资源、Shellcode开发、开源情报资源、社会工程资源等 /~
frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。 /~
hideNsneak: 临时渗透测试架构明亮行 /~
Powershell渗透库合集 /~
Powershell tools合集 /~
资产狩猎框架-AssetsHunter,信息收集是一项艺术~ /~
Nishang PowerShell下脚本和渗透和POC框架和集合,Nishang在渗透测试的所有阶段都非常有用。 /~
MSF--最强大的渗透平台 /~
Poc调用框架,可加载Pocsuite,Tangscan,Beebeeto等 /~
Pocsuite -开源的远程漏洞测试框架 /~
fsociety黑客工具集——渗透测试框架 /~
YAWAST Web应用安全套件 /~
A Bind9 server for pentesters to use for Out-of-Band vulnerabilities /~
Beebeeto是由众多安全研究人员所共同维护的一个规范化POC/EXP平台 /~
cloudflare基于nmap打包的一个轻量漏洞扫描系统 /~
一个用Node.js编写的Web安全测试框架 /~
Orc is a post-exploitation framework for Linux written in Bash /~
常见的渗透测试/安全Cheatsheet /~
渗透脚本集合包括backdoor,exploit,fuzzing,note,misc,powershell /~
消息队列和中间人注入工具,可以用于攻击 Redis, RabbitMQ和ZeroMQ。 /~
WPA2 KRACK攻击验证脚本集 /~
越过(WAF)和 XSS过滤的pyton脚本集 /~
渗透测试用到的东东 /~
DNS rebinding toolkit /~
A scripted pipeline of tools to streamline the bug bounty/penetration test reconnaissance phase, so you can focus on chomping bugs. /~
Hackazon is a free, vulnerable test site that is an online storefront built with the same technologies used in today’s rich client and mobile applications /~
MSTG-手机应用安全开发、测试、反向工程详细手册。 /~
Venom是一款为渗透测试人员设计的使用Go开发的多级代理工具 /~
A collection of cool tools used by Web hackers. Happy hacking , Happy bug-hunting /~
DotDotPwn - 目录遍历Fuzzer( /~
FuzzLabs Fuzzing框架 /~
谷歌出品强大分析配置项目fuzzing组件 /~
谷歌fuzzing引擎测试集 /~
可扩展地Fuzzing框架 /~
Fuzzinator随机测试框架 /~
各种fuzzing图书、课程、工具、教程和易受攻击应用集合 /~
Linux内核fuzzing和缺陷相关的资源 /~
fuzzing框架 /~
fuddly: fuzzing和数据处理框架 /~
基础fuzzer工具 /~
Kitty fuzzing框架扩展库 /~
Fuzzer API接口,通过可以用通用的渗透技术和漏洞列表进行fuzz请求 /~
Java的fuzz测试覆盖率指导 /~
找出文件系统存存储的加密文件 /~
安卓媒体Fuzzing框架 /~
安卓fuzz工具 /~
Fuzzing数据集 /~
WebFuzz工具 /~
coverage guided fuzz testing for javascript /~
web fuzz /~
AFL的Android移植版本 /~
Fuzzing results for various interpreters. /~
Fuzzapi is a tool used for REST API pentesting and uses API_Fuzzer gem /~
Test Blue Team detections without running any attack. /~
bring your .bashrc, .vimrc, etc. with you when you ssh /~
Chat over SSH /~
WinAFL—windows版本的afl,使用DynamoRIO去插桩闭源程序以获取代码覆盖率信息,同时支持硬件PT获取覆盖率信息,但PT获取覆盖率其实并没有插桩获取得全,但速度可能会快一些。 /~
AFLFast—加速版的AFL,Fuzzing速度确实会比原版快一些。 /~
Vuzzer—支持闭源程序的覆盖引导Fuzzer,使用LibDFT的pin工具实现数据流追踪,结合动静态分析,以获取更多的代码路径,比如比较语句中的比较值,它会先作记录,再未来变异时使用。 /~
PTfuzzer—Linux平台下的采用 Interl PT硬件支持的覆盖引导Fuzzer,所以它支持闭源程序。 /~
afl-unicorn—采用Unicorn模拟指令的AFL,支持Linux闭源程序 /~
pe-afl—通过静态插桩实现针对Windows闭源程序的覆盖引导的AFL Fuzzer,支持用户层应用和内核驱动 /~
kAFL—支持QEMU虚拟机下的系统内核Fuzzing的AFL,适用于Linux、macOS与Windows /~
TriforceAFL—基于QEMU全系统模拟的AFL,借助系统仿真器实现分支信息跟踪,支持Linux内核Fuzzing /~
ClusterFuzzer—Google开源的可扩展的Fuzzing基础设施 /~
OSS-Fuzz—基于LibFuzzer的开源软件Fuzzer集合,实现docker下自动下载、编译安装及运行 /~
honggfuzz—Google开发的基于软硬件的覆盖驱动型Fuzzer,单纯暴力Fuzz的效果也挺好的,支持多平台,包括Linux\macOS\Windows\Android /~
KernelFuzzer—跨平台内核Fuzzer框架,不开源策略,只在其paper中提及变异策略,需要自己实现,支持Windows、OSX和QNX系统,但只提供Windows编译脚本 /~
OSXFuzzer—基于Kernel Fuzzer的macOS内核Fuzzer /~
PassiveFuzzFrameworkOSX—通过Hook实现被动式的OSX内核Fuzzer /~
Bochspwn—基于Boch插桩API实现Double Fetches内核漏洞的检测 /~
Bochspwn-reloaded—基于Boch插桩API实现内核信息泄露的检测 /~
syzkaller—基于覆盖率引导的Linux内核Fuzzer,需要基于其模板语法实现API调用模板,提供给syzkaller进行数据变异,也曾被移植到其它平台 /~
dharma—基于语法模板生成的Fuzzer,由Mozilla开源的用于Fuzz Firefox JS引擎 /~
domator—Project Zero团队开源的DOM Fuzzer,用python实现基于模板生成的Fuzzer /~
Fuzzilli—基于语法变异的JavaScript引擎Fuzzer,先通过语法模板生成测试用例,再生成中间语法进行变异,结合覆盖率引导以触发更多代码路径 /~
Razzer—内核竞争条件漏洞Fuzzer /~
ViridianFuzzer—用于Fuzzing Hyper-V hypercalls的内核驱动,由MWRLabs公司出品 /~
ChromeFuzzer—基于grinder语法生成器改装的Chrome浏览器Fuzzer /~
funfuzz—Mozilla开源的JS fuzzer工具集合,主要用于Fuzz SpiderMonkey /~
webshell大合集 /~
渗透以及web攻击脚本 /~
web渗透小工具大合集 /~
web敏感目录、信息泄漏批量扫描脚本,结合爬虫、目录深度遍历。 /~
detectem - detect software and its version on websites. /~
Hydra is a penetration testing tool exclusively focused on dictionary-attacking web-based login forms. /~
数据库注入工具 /~
通过控制台管理网站 /~
SQLiScanner -- Automatic SQL injection with Charles and sqlmap api /~
Web代理,通过加载sqlmap api进行sqli实时检测 /~
新版中国菜刀 /~
.git泄露利用EXP /~
浏览器攻击框架 /~
自动化绕过WAF脚本 /~
http命令行客户端,可以从命令行构造发送各种http请求(类似于Curl) /~
浏览器调试利器 /~
WAF绕过检测工具 /~
浏览器攻击框架 /~
web端webshell管理器 /~
tomcat自动后门部署 /~
TomcatBrute tool /~
通过调用sqlmap api,自动检测sqli的代理 /~
CMS探测和利用套件,能探测20多种cms,同时对wp,Joomla, Drupadl进行深度渗透 /~
免杀payload生成器 /~
用gmail充当C&C服务器的后门 /~
burp教学payloads集合 /~
SQL盲注利用工具 /~
Script for doing evil stuff to Redis servers (for education purposes only). /~
dnscat2的Powershell客户端,加密的DNS命令和控制工具 /~
burp插件收集项目 /~
Burp-Suite-collections:BurpSuite相关收集项目,插件主要是非BApp Store(商店) /~
一个用来辅助WP渗透测试的ruby框架 /~
.DS_store文件泄露利用脚本 /~
Short for command injection exploiter,web向命令注入检测工具 /~
XSS数据接收平台 /~
一个快速的TLS扫描器( non-blocking, event-driven ) /~
一个Python RESTful接口框架,用于提供在线恶意软件和URL分析服务 /~
暴力攻击字典生成工具 /~
利用深度神经网络tensorflow 对14亿文本密码分析 /~
ModSecurity—Web应用程序防火墙(支持nginx、iis、apache) /~
Astra:REST API的自动安全测试 /~
Burp Replicator:自动化复杂漏洞的复制 /~
OWASP进攻性Web测试框架 /~
OWASP JoomScan项目 /~
WSSAT Web服务安全评估工具 /~
中间人攻击框架 /~
代码注入,wifi jam以及wifi用户探测 /~
可扩展的中间人代理工具 /~
wifi钓鱼 /~
XSS数据接收平台 /~
Vegile - Ghost In The Shell 进程隐藏和防止被杀的工具 /~
密码破解工具 /~
本地存储的各类密码提取利器 /~
HTTP暴力破解,撞库攻击脚本 /~
超过80GB密码库总结出的字典项目 /~
Local Exploit for Meltdown /~
Meltdown Spectre PoC /~
Meltdown/Spectre PoC 源码集合 /~
meltdownspectre补丁 /~
SpecuCheck meltdownspectre win下检查工具 /~
Linux本地root提权 /~
漏洞研究集合 /~
CVE Details是通过读取NVD提供的CVE xml信息并添加exploit-db和metasploit相关模块重新排版布局的网站。 旨在使用户能快速查找到自己要找的漏洞,如按厂商查找按产品查找等。
Snyk漏洞库 /~
按小时更新的保存使用JSON格式设置的CVE列表信息 /~
哈希长度扩展攻击EXP /~
JAVA反序列化漏洞相关资源列表 /~
JBOSS verify & exp tool /~
些 APT 组(APT28、APT29、APT32、Emotet...)所使用的恶意软件样本 /~
安卓十月漏洞POC /~
在sebug提交的漏洞详情及poc /~
PacketWhisper:使用DNS查询和文本隐藏技术 /~
ExploitDB官方git版本 /~
Vulncode-DB is a database for vulnerabilities and their corresponding source code /~
php漏洞代码分析 /~
Parse: PHP安全扫码器 /~
NodeJsScan-Node.js应用静态安全代码扫码器 /~
proof-of-concept exploits developed by the Semmle Security Research Team. /~
CVE-2016-2107简单test程序 /~
CVE-2015-7547 POC /~
pocassist:全新的开源漏洞测试框架,实现poc在线编辑、运行、批量测试。 /~
一些漏洞和0day的blog /~ JAVA反序列化POC生成工具 /~
JAVA反序列化EXP /~
Jenkins cli漏洞 /~
CVE-2015-2426 EXP (windows内核提权) /~
web攻击的范例docker环境(php本地文件包含结合phpinfo getshell 以及ssrf结合curl的利用演示) /~
php7缓存覆写漏洞Demo及相关工具 /~
An exploit for Apache Struts CVE-2018-11776 /~
Struts2 S2-045-Nmap NSE script /~
SS payloads designed to turn alert(1) into P1 /~
XcodeGhost木马样本 /~
scap安全指导 /~
相对偏学术方向,有不少书籍、会议、报告等推荐 /~
偏Web向的常见漏洞类型案例指导 /~
13年到现在数十个CVE漏洞的PoC /~
恶意软件脚本集 /~
Awesome XSS stuff /~
一大波常见Web攻击Payloads /~
后门仓库,包括各语言直接绑定和反射式的后门,后门加密以及Stager /~
常见Web攻击Payloads /~
OS X命令行、PowerShell命令行、Google Dorks、Shodan、exploit开发、Java反序列化等列表 /~
雷石安全实验室出品Shiro命令执行工具 V2.0 /~
Java反序列化技术分享 /~
漏洞赏金计划集合和著名赏金猎人博客列表 /~
Exploit开发学习资源 /~
mimic is a tool for covert execution on Linux x86_64. /~
二进制EXP编写工具 /~
CTF Pwn 类题目脚本编写框架 /~
python写的pwning开发IO库 /~
跨平台注入工具( Inject JavaScript to explore native apps on Windows, Mac, Linux, iOS and Android.) /~
收集或编写各种漏洞PoC、ExP /~
xray:一款完善的安全评估工具,支持常见 web 安全问题扫描和POC自定义 /~
redteam_vu:红队作战中比较常遇到的一些重点系统漏洞整理。 /~
渗透测试有关的POC、EXP、脚本、提权、小工具等,欢迎补充、完善 /~
基于Docker-Compose的漏洞预构建环境 /~
Java安全相关的漏洞和技术demo,原生Java、Fastjson、Jackson、Hessian2、XML反序列化漏洞利用和Dubbo、Shiro、CAS、Tomcat、RMI等框架\中间件\功能的exploits以及Java Security Manager绕过、Dubbo-Hessian2安全加固等等实践代码。 /~
CNVD-2020-10487(CVE-2020-1938), tomcat ajp 文件读取漏洞poc /~
python3批量poc检测工具 /~
AJPy aims to craft AJP requests in order to communicate with AJP connectors. /~
吾爱破解论坛【爱盘】3.0 在线破解工具包 /~
BAP /~
Binary Ninja
libdetox /~
Macaw /~
McSema /~
MultiVerse /~
Pharos /~
Uroboros /~
shellcode分析工具 /~
Shellcode/Obfuscate Code Generator /~
linux下逆向工具 /~
Reverse Shell and Post Exploitation Tool /~
跨平台二进制分析及逆向工具 /~
恶意ELF二进制文件相似度比较及可视化 /~
二进制分析工具 /~
关于软件虚拟化保护(如VMProtect)的资料 /~
系统扫描器,用于寻找程序和库然后收集他们的依赖关系,链接等信息 /~
A Qt and C++ GUI for radare2 reverse engineering framework /~
rp++ is a full-cpp written tool that aims to find ROP sequences in PE/Elf/Mach-O. /~
Windows Exploit Development工具 /~
二进制静态分析工具(python) /~
Python Exploit Development Assistance for GDB /~
对BillGates Linux Botnet系木马活动的监控工具 /~
Adhrit开源的安卓APK逆向和分析工具 /~
Assesses CPU security of embedded devices. iadgov /~
pypacker: The fast and simple packet creation and parsing lib for Python. /~
Windows driver and usermode interface which can hide objects of file-system and registry, protect processes and etc /~
IoTSecurityNAT IoT安全测试系统,方便快速接入各种设备,进行安全测试。 /~
木马配置参数提取工具 /~
Shellphish编写的二进制分析工具(CTF向) /~
针对python的静态代码分析工具 /~
一个自动化的脚本(shell)分析工具,用来给出警告和建议 /~
基于AST变换的简易Javascript反混淆辅助工具 /~
隐写检测工具 /~
针对各种编程语言的静态分析工具、linters、代码质量检查等 /~
关于逆向的图书、培训、实战、工具等 /~
常见软件、类库、书籍、技术分析、开发等 /~
awesome-firmware-security是一个平台固件资源的列表,立足于安全和测试 /~
nary Analysis Platform /~
libsodium for Universal Windows Platform (UWP) - A secure cryptographic library /~
oletools - python tools to analyze MS OLE2 files /~
chipwhisperer -- toolchain for side-channel power analysis and glitching attacks /~
OCI (Open Containers Initiative) compatible runtime for Intel® Architectur /~
ICS Security Tools, Tips, and Trade /~
Mobile Security Framework 是一个自动化的移动app安全测试工具,支持Android、iOS和Windows应用,能够进行静态、动态分析以及web API测试 /~
MobSF HackingLab定制中文版 /~
APEiD 用于安卓应用编译,打包,封隔器,保护器,混淆器等 /~
QARK linkedin 开源的安卓应用程序源代码安全漏洞分析工具 /~
Drozer FSecureLABS开源的一个全面的Android安全评估框架 /~
威胁情报资源 /~
常见IOC资源、工具 /~
数字取证的常见工具资源 /~
Ethereum Scam Database诈骗数据库溯新查询 /~
开源情报:各种开源情报来源 /~
帮助安全分析师和数字取证人员 /~
ThreatHunter攻略-帮助安全分析师利用Sysmon和Windows Events日志来进行事件分析,涉及Splunk、ELK、Sigma、GrayLog等工具 /~
社工插件,可查找以email、phone、username的注册的所有网站账号信息 /~
Github信息搜集,可实时扫描查询git最新上传有关邮箱账号密码信息 /~
People tracker on the Internet: OSINT analysis and research tool /~
用于MISP分类系统。 /~
RegEx 拒绝服务(ReDos)扫描器 /~ /~
dataShark 构建在Apache Spark的安全和网络事件分析框架 /~
github Repo信息搜集工具 /~
CIF v3 -- 安全威胁情报最快获取 /~
使用CNN进行样本恶意动态行为检测 /~
屏蔽广告,恶意扫描和非法域名的工具(hosts) /~
Dradis Framework: IT安全团队协作和报告工具 /~
EggShell (也被正式称为NeonEggShell) 用python写的iOS,OS X 监控工具 /~
HMAC 时序攻击统计分析 /~
AIL framework - 弱点信息分析框架 /~
w11scan是一款分布式的WEB指纹识别系统(包括CMS识别、js框架、组件容器、代码语言、WAF等等) /~
OWASP依赖扫描报告转为SonarQube /~
SBT插件用来进行OWASP依赖扫描 /~
Maltrail——非法流量检测系统 /~
Seebug、structs、cve漏洞实时监控推送系统🔦 /~
Logstash 日志安全攻击分析插件 /~
net-creds:从网络嗅探或Pcap 文件提取敏感数据的工具 /~
开源的恶意代码查杀引擎,模式匹配是瑞士军刀(支持二进制) /~
Klara 基于Rara引擎的威胁情报恶意代码发现辅助项目 /~
awesome-yara YARA规则、工具和相关信息集。 /~
scylla: 人性化智能IP代理池 /~
用于机器学习模型的对抗鲁棒性工具箱 /~
射箭:开源漏洞评估和管理 /~
A fork and successor of the Sulley Fuzzing Framework /~
BTA is an open-source Active Directory security audit framework /~
Graph platform for Detection and Response /~
Open Cyber Threat Intelligence Platform /~
深度利用 /~
Halcyon IDE:Nmap脚本开发IDE /~
SimpleRisk资源 /~
TROMMEL:Sift Through Embedded Device Files to Identify Potential Vulnerable Indicators /~
IoT Pentesting 101 && IoT security 101 /~
Deep and Dark Web OSINT Tool /~
蜜罐资源合集 /~
SSH蜜罐 /~
kippo进阶版 /~
SMTP蜜罐 /~
Web应用蜜罐 /~
数据库蜜罐 /~
Web蜜罐 /~
MongoDB代理蜜罐 /~
T-Pot:多蜜罐平台,可视化分析。 /~
opencanary_web:蜜罐的网络管理平台。 /~
Glastopf Python Web应用程序蜜罐。 /~
Cowrie :一种中等交互式SSH和Telnet蜜罐,用于记录暴力攻击和攻击者执行的shell交互。 /~
Kippo:一个中等交互式SSH蜜罐,用于记录暴力攻击,最重要的是,攻击者执行的整个shell交互。 /~
Dionaea:一个低交互的蜜罐,能够模拟FTP/HTTP/MSSQL/MYSQL/SMB等服务。 /~
onpot:一个ICS蜜罐,其目标是收集有关针对工业控制系统的敌人的动机和方法的情报。 /~
扩展企业安全测试主动诱导型蜜罐框架系统 /~
Wordpot:一个Wordpress蜜罐,可以检测用于指纹wordpress安装的插件,主题,timthumb和其他常用文件的探针。 /~
Shockpot:针对CVE-2014-6271的一个Web应蜜罐,用于发现针对Bash远程代码漏洞的攻击者。 /~
对开源蜜罐的学习研究与理解 /~
Awesome-Hacking黑客、渗透,安全研究文档集 /~
黑客必读电子书 /~
黑客成长技术清单 /~
snowden-archive -- NSA承包商Edward Snowden泄露文档合集 /~
Awesome-Vehicle-Security 汽车安全合集包括文档、软硬件应用 /~
Awesome-Security——一个社区驱动的知名安全资源分类集合 /~
应用程序安全的资源列表 /~
安全公众号推荐 /~
DFTimewolf A framework for orchestrating forensic collection, processing and data export. /~
安全脑图合集 /~
有关信息安全的一些流程图收集 /~
在学习Software安全的过程中整合的一些资料 /~
有关cryptography, security, OPSEC以及其他工程的演讲集 /~
cis-benchmarks 常用服务器、数据库、中间件安全配置基线(英文pdf下载)
Kinda useful notes collated together publicly /~
一个验证密码JS库,通过对比常见密码,提示密码问题 /~
网络安全AI信息:相关研究的数据集、论文、书籍、演讲等 /~
ACM CCS 2017 会议集
2017 IEEE Cybersecurity Development (SecDev大会录用论文)
Golang for Security Professionals /~
域渗透教程 /~
python security教程(原文链接http// /~
域渗透学习笔记 /~
渗透测试文档 /~
data_hacking合集 /~
手机安全wiki /~
windows 内网协议学习:erbeos,ntlm,smb,ldap /~
Web安全入门各种书籍、文档、工具 /~
各种Android工具、报告/研究/书籍、漏洞/利用代码等资源 /~
恶意软件集、开源威胁情报、检测、沙箱等 /~
书籍《reverse-engineering-for-beginners》 /~
一些信息安全标准及设备配置 /~
PENTESTING-BIBLE:数百项道德黑客与渗透测试,红色团队,网络安全和计算机科学资源 /~
分享在建设安全管理体系、ISO27001、等级保护、安全评审过程中的点点滴滴 /~
2013-2017年各类安全大会演讲视频集 /~
⚡️ 极棒的有关安全手册、黑客,单行脚本,cli/web工具等的列表。 /~
关于网络安全相关的RSS订阅,情报来源和日常知识库更新: /~
社工资源集——仅供网络安全人员、渗透测试人员在受控环境用于教育用途 /~
密码学的理论、工具、框架、资源等 /~
APT相关笔记 /~
Kcon资料 /~
Micro8安全渗透十年经验集合:括但不限制于代码审计,web渗透,内网渗透,域渗透,隧道介绍,日志溯源与暴力溯源等 /~
Install and Configure Common Car Hacking Tools. /~
安全大礼包(大杂烩) /~
各种信息安全公开课、培训信息 /~
零碎的GitHub安全项目汇总,涉及PWND、PowerShell、CTF、恶意软件等 /~
Gera安全例程镜像 /~
That Doesnt Suck安全指南 /~
Shell命令行、工具、指南列表集 /~
<>电子杂志,分享同领域黑客关注的东西和黑客生活,已出版4期(截止2015) /~
安全知识库,包括网络分析、Web应用、开源情报、漏洞分析、编程开发等 /~
ThatDoesntSuck安全指南 /~
安全测试人员进行评估检查需要用到的技能 /~
WeReport: 渗透报告自动化生成平台 /~
射频资源集合,包括SDR、GSM、3G、4G LTE、NFC、RFID、ZigBee等 /~
学习Web/Cloud/Docker 安全、渗透测试、安全建设笔记 /~
安全文章收集 /~
Linux 安全时记录笔记 /~
信息安全从业者书单推荐 /~
Android 安全笔记 /~
安全技能树小密圈2017精选 /~
Android应用安全的众测list /~
车辆安全的学习资源、项目、软硬件、汽车黑客案例、Twitter follower列表等 /~
聚合大量IoT破解案例,如RFID、门铃、中控、可穿戴等 /~
包括工具、蜜罐、数据、警报和新闻、会议各种工控安全等 /~
数字取证论文集合(摄像头特征) /~
渗透测试技巧 /~
以太坊合约审计checkList @知道创宇404区块链安全研究团队 /~
Spring Security provides security services for the Spring IO Platform. Spring Security 5.0 requires Spring 5.0 as a minimum and also requires Java 8. /~
Support for adding OAuth1(a) and OAuth2 features (consumer and provider) for Spring web applications. /~
Iptables Essentials: Common Firewall Rules and Commands. /~
Curated list of awesome cloud security blogs, podcasts, standards, projects, and examples. /~
List of open source tools for AWS security: defensive, offensive, auditing, DFIR, etc. /~
Cloud Custodian is a rules engine for managing public cloud accounts and resources /~
scripts, tools, extensions, automations, for Azure subscription and resource security /~
甲方企业安全建设开源之路 /~
📚 List of awesome university courses for learning Computer Science! /~
💻 An awesome & curated list of best applications and tools for Windows. /~
Curated list of awesome lists /~
Awesome & Interesting Talks concerning Programming /~
生信,大数据,机器学习,各种程序语言等等资源集合 /~
中文公开聊天语料库 /~
图书配套代码 精通渗透测试机器学习 /~
awesome cheatsheet /~
机器学习和安全 /~
iOS hack资料 /~
Green-hat-suite is a tool to make meterpreter evade antivirus /~
慢雾安全团队知识库 /~
BlockChain-Security-List 区块链加密币安全列表 (reverse, exploit, fuzz..) /~
比特币的最佳集合 /~
知道创宇研发技能表 /~
architect-awesome:后端架构师技术图谱 /~
Git学习资料 /~
计算机科学视频教程集 /~
安卓开源代码解析 /~
JS 正则表达式库(用于简化构造复杂的JS正则表达式) /~
PHP生成安全随机数、加密数据、检查漏洞等类库 /~
科学上网工具 /~
全功能私有云云平台 /~
亚马逊云服务AWS实践指南 /~
撰写安全代码最小备忘单子 /~
关于系统、数据库、IDE、编程语言等方面的免费书 /~
一个爬取国内技术站点的技术文章 /~
渗透和开发小技巧 /~
🚀苹果macOS 开源应用集 /~
Python应用安全框架 /~
python安全和代码审计相关资料收集 /~
pyc反编译脚本 /~
pycipher python加解密库 /~
可视化python性能分析工具 /~
Flask认证 /~
ViperMonkey,VBA解析和模拟机,用来分析非法宏代码 /~
XLearning是一款支持多种机器学习、深度学习框架调度系统. /~
一些资源和工具里list /~
Tensorflow实战学习笔记 /~
声音可视化工具集 /~
安全代码审计工具 /~
An extensive list of interesting open source projects written in С, C++, Clojure, Lisp, Elixir, Erlang, Elm, Golang, Haskell, JavaScript, Lua, OCaml, Python, R, Ruby, Rust, Scala etc. /~
A curated list of Rust code and resources. /~
python 正则表达式库(用于简化构造复杂的python正则表达式) /~
python任务管理以及命令执行库 /~
python exe打包库 /~
py3 爬虫框架 /~
一个提供底层接口数据包编程和网络协议支持的python库 /~
python requests 库 /~
python 实用工具合集 /~
python爬虫系统 /~
ScrapedIn,LinkedIn爬虫 /~
ctf向 python工具包 /~
python框架,库,资源大合集 /~