关于Vajar
Vajra是一个自动化的Web渗透测试框架,它可以帮助广大安全研究人员在Web应用程序渗透测试期间自动执行无聊的侦察任务以及针对多个目标的相同扫描。Vajra具有高度可定制特性,允许研究人员自定义扫描范围,我们无需针对目标执行所有的扫描,我们可以根据自己的需要来选择需要执行的扫描任务,这样可以最大化减少不必要的通信流量,并将扫描结果输出至CouchDB中。
Vajra使用了最常见的开源工具,也就是很多安全研究人员在进行安全测试时都会使用到的一些工具。Vajra会通过Web浏览器来完成所有的任务,并且提供了易于使用的用户接口和对初学者友好的功能框架。
众所周知,从扫描结果中分析数据在渗透测试的过程中是非常重要的,只有当你能以适当的方式将你的数据可视化时我们才会尽可能地寻找出更多有价值的信息。
目前,Vajra的开发人员添加了27个独特的漏洞奖励计划功能,之后还会添加更多支持。
核心功能
可执行高度针对性扫描;
并行运行多个扫描任务;
可根据用户要求高度定制扫描任务;
绝对初学者友好的Web UI;
扫描速度快(异步扫描);
以CSV格式导出结果或直接复制到剪贴板
Telegram通知支持;
Vajra能做什么?
使用IP、状态码和标题进行子域名扫描;
子域名接管扫描;
端口扫描;
主机发现;
主机参数扫描;
7x24小时子域名监控;
7x24小时JavaScript监控;
使用Nuclei执行模板扫描;
对终端节点进行模糊测试以发现隐藏的节点或关键文件(例如.env);
提取JavaScript;
使用自定义生成字典进行模糊测试;
提取敏感数据,例如API密钥和隐藏JavaScript;
检测无效链接;
基于扩展过滤节点;
Favicon哈希;
GitHub Dork;
CORS扫描;
CRLF扫描;
403绕过;
查找隐藏参数;
Google Hacking;
Shodan搜索查询;
从JavaScript中提取隐藏节点;
创建基于目标的自定义单词列表;
漏洞扫描;
CVE扫描;
CouchDB存储所有扫描输出结果;
工具手动安装
$ git clone --recursive https://github.com/r3curs1v3-pr0xy/vajra.git # sudo su (root access is required) # cd vajra/tools/ && chmod +x * # cd ../ # nano .env (Update username, password, and JWT Secret) # cd ./install # chmod +x ./install.sh # ./install.sh
使用Docker-Compose运行
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone --recursive https://github.com/r3curs1v3-pr0xy/vajra.git
接下来,修改配置文件,增加API令牌等等。然后运行下列命令:
docker-compose up
如果你想要修改并更新文件的话,则需要再次运行下列命令:
docker-compose build docker-compose up
工具使用样例
完整扫描:
扫描结果:
子域名扫描:
子域名监控:
以上是如何进行自动化web渗透测试框架的运用分析的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
ZendStudio 13.5.1 Mac
功能强大的PHP集成开发环境
Atom编辑器mac版下载
最流行的的开源编辑器
安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。
SublimeText3 Linux新版
SublimeText3 Linux最新版
SublimeText3汉化版
中文版,非常好用
