Çeşitli bug bounty araçlarının Türkçe açıklamaları ile derlenmiş bir listesi
-
- Command Injection
- CORS Misconfiguration
- CRLF Injection
- CSRF Injection
- Directory Traversal
- File Inclusion
- GraphQL Injection
- Header Injection
- Insecure Deserialization
- Insecure Direct Object References
- Open Redirect
- Race Condition
- Request Smuggling
- Server Side Request Forgery
- SQL Injection
- XSS Injection
- XXE Injection
- Sublist3r - Sızma testi yapanlar için hızlı alt alan numaralandırma aracı
- Amass - Derinlemesine Saldırı Yüzey Haritalama ve Varlık Keşfi
- massdns - Toplu aramalar ve keşif (alt alan numaralandırma) için yüksek performanslı bir DNS saplama çözümleyici
- Findomain - En hızlı ve platformlar arası alt alan numaralandırıcı, zamanınızı boşa harcamayın.
- Sudomy - Sudomy, alt alanları toplamak ve böcek avı / sızma testi için otomatik keşif (keşif) gerçekleştiren alanları analiz etmek için kullanılan bir alt alan numaralandırma aracıdır.
- chaos-client - Chaos DNS API ile iletişim kurmak için istemciye gidin.
- domained - Çok Araçlı Alt Alan Numaralandırma
- bugcrowd-levelup-subdomain-enumeration - Bu depo, Bugcrowd LevelUp 2017 sanal konferansında verilen "Ezoterik alt alan numaralandırma teknikleri" konuşmasındaki tüm materyalleri içerir.
- shuffledns - shuffleDNS, aktif bruteforce kullanarak geçerli alt alan adlarını sıralamanıza ve alt alan adlarını joker karakter işleme ve kolay girdi-çıktı ile çözümlemenize izin veren, go'da yazılmış bir massdns sarmalayıcısıdır…
- censys-subdomain-finder - Censys'ten alınan sertifika şeffaflık günlüklerini kullanarak alt alan numaralandırması gerçekleştirin.
- Turbolist3r - Keşfedilen alanlar için analiz özelliklerine sahip alt alan numaralandırma aracı
- censys-enumeration - Censys'te SSL/TLS sertifika veri kümesini kullanarak belirli bir alan için alt alan adlarını/e-postaları ayıklamak için bir komut dosyası
- tugarecon - Sızma testi yapanlar için hızlı alt alan numaralandırma aracı.
- as3nt - Başka bir Alt Alan Numaralandırma Aracı
- Subra - Alt alan numaralandırması için bir Web-UI (alt bulucu)
- Substr3am - Düzenlenen SSL sertifikalarını izleyerek ilginç hedeflerin pasif keşfi/sayımı
- domain - enumall.py Regon-ng için kurulum betiği
- altdns - Alt alanların permütasyonlarını, değişikliklerini ve mutasyonlarını oluşturur ve ardından bunları çözer
- brutesubs - Docker Compose aracılığıyla kendi kelime listelerinizi kullanarak birden çok açık kaynaklı alt alan kaba zorlama aracını (paralel olarak) çalıştırmak için bir otomasyon çerçevesi
- dns-parallel-prober - Bu, belirli bir alan adının olabildiğince çok sayıda alt alanını olabildiğince hızlı bulmak için paralelleştirilmiş bir alan adı araştırıcısıdır.
- dnscan - dnscan, python kelime listesi tabanlı bir DNS alt alan adı tarayıcısıdır.
- knock - Knockpy, bir hedef alandaki alt alanları bir kelime listesi aracılığıyla numaralandırmak için tasarlanmış bir python aracıdır.
- hakrevdns - Toplu olarak ters DNS aramaları yapmak için küçük, hızlı araç.
- dnsx - Dnsx, kullanıcı tarafından sağlanan çözümleyiciler listesiyle seçtiğiniz birden çok DNS sorgusunu çalıştırmanıza izin veren hızlı ve çok amaçlı bir DNS araç takımıdır.
- subfinder - Alt Bulucu, web siteleri için geçerli alt alan adlarını keşfeden bir alt alan keşif aracıdır.
- assetfinder - Belirli bir alanla ilgili alanları ve alt alanları bulun
- crtndstry - Yine başka bir alt alan bulucu
- VHostScan - Geriye doğru arama yapan bir sanal ana bilgisayar tarayıcısı
- scilla - Bilgi Toplama aracı - DNS / Alt alanlar / Bağlantı Noktaları / Dizinler numaralandırması
- sub3suite - Alt alan numaralandırma, istihbarat toplama ve saldırı yüzeyi haritalama için araştırma düzeyinde bir araç paketi.
- cero - Keyfi ana bilgisayarların SSL sertifikalarından alan adlarını kazıyın
- masscan - TCP port scanner, spews SYN packets asynchronously, scanning entire Internet in under 5 minutes.
- RustScan - The Modern Port Scanner
- naabu - A fast port scanner written in go with focus on reliability and simplicity.
- nmap - Nmap - the Network Mapper. Github mirror of official SVN repository.
- sandmap - Nmap on steroids. Simple CLI with the ability to run pure Nmap engine, 31 modules with 459 scan profiles.
- ScanCannon - Combines the speed of masscan with the reliability and detailed enumeration of nmap
- EyeWitness - EyeWitness, web sitelerinin ekran görüntülerini almak, bazı sunucu başlık bilgileri sağlamak ve mümkünse varsayılan kimlik bilgilerini belirlemek için tasarlanmıştır.
- aquatone - Aquatone, çok sayıda ana bilgisayarda web sitelerinin görsel olarak incelenmesine yönelik bir araçtır ve HTTP tabanlı saldırı yüzeyine hızlı bir şekilde genel bakış elde etmek için uygundur.
- screenshoteer - Komut satırından web sitesi ekran görüntüleri ve mobil emülasyonlar oluşturun.
- gowitness - gowitness - Chrome Headless kullanan bir golang, web ekran görüntüsü yardımcı programı
- WitnessMe - Web Envanteri aracı, Pyppeteer (headless Chrome/Chromium) kullanarak web sayfalarının ekran görüntülerini alır ve hayatı kolaylaştırmak için bazı ekstra özellikler sağlar.
- eyeballer - Pentest ekran görüntülerini analiz etmek için evrişimli sinir ağı
- scrying - RDP, web ve VNC ekran görüntülerini tek bir yerde toplamak için bir araç
- Depix - Parolaları pikselleştirilmiş ekran görüntülerinden kurtarır
- httpscreenshot - HTTPScreenshot, çok sayıda web sitesinin ekran görüntülerini ve HTML'sini almak için kullanılan bir araçtır.
- wappalyzer - Web sitelerindeki teknolojiyi tanımlayın.
- webanalyze - Toplu taramayı otomatikleştirmek için Wappalyzer Limanı (web sitelerinde kullanılan teknolojileri ortaya çıkarır)
- python-builtwith - BuildWith API istemcisi
- whatweb - Yeni nesil web tarayıcı
- retire.js - bilinen güvenlik açıklarına sahip JavaScript kitaplıklarının kullanımını algılayan tarayıcı
- httpx - httpx hızlı ve çok amaçlı bir HTTP araç takımıdır, retryablehttp kitaplığını kullanarak birden çok prob çalıştırılmasına izin verir, artan iş parçacığı ile sonuç güvenilirliğini korumak için tasarlanmıştır.
- fingerprintx - parmak izix, diğer popüler bug bounty komut satırı araçlarıyla iyi çalışan, açık bağlantı noktalarında hizmet keşfi için bağımsız bir yardımcı programdır.
- gobuster - Go'da yazılmış Dizin/Dosya, DNS ve VHost bozma aracı
- recursebuster - web sunucularını yinelemeli olarak sorgulamak için hızlı içerik keşif aracı, sızma testi ve web uygulaması değerlendirmelerinde kullanışlıdır
- feroxbuster - Rust'ta yazılmış hızlı, basit, özyinelemeli bir içerik keşif aracı.
- dirsearch - Web yolu tarayıcı
- dirsearch - dirsearch'ın Go uygulaması.
- filebuster - Son derece hızlı ve esnek bir web fuzzer
- dirstalk - Dirbuster/dirb'e modern alternatif
- dirbuster-ng - dirbuster-ng, Java dirbuster aracının C CLI uygulamasıdır
- gospider - Gospider - Go ile yazılmış hızlı web örümceği
- hakrawler - Bir web uygulamasında uç noktaların ve varlıkların kolay ve hızlı bir şekilde keşfedilmesi için tasarlanmış basit, hızlı web gezgini
- crawley - Golang'da yazılmış hızlı, zengin özelliklere sahip unix-way web kazıyıcı/gezgin.
- LinkFinder - JavaScript dosyalarında uç noktaları bulan bir python betiği
- JS-Scan - php'de yerleşik bir .js tarayıcı. url'leri ve diğer bilgileri kazımak için tasarlanmıştır
- LinksDumper - Extract (links/possible endpoints) from responses & filter them via decoding/sorting
- GoLinkFinder - Hızlı ve minimal bir JS uç nokta çıkarıcı
- BurpJSLinkFinder - Uç nokta bağlantıları için pasif tarama JS dosyaları için Burp Uzantısı.
- urlgrab -Ek bağlantılar arayan bir web sitesinde gezinmek için bir golang yardımcı programı.
- waybackurls - Wayback Machine'in bir etki alanı için bildiği tüm URL'leri getirin
- gau - AlienVault'un Open Threat Exchange, Wayback Machine ve Common Crawl'dan bilinen URL'leri alın.
- getJS - Tüm javascript kaynaklarını/dosyalarını hızlı bir şekilde almak için bir araç
- linx - JavaScript dosyalarındaki görünmez bağlantıları ortaya çıkarır
- parameth - Bu araç, GET ve POST parametrelerini brute force yöntemiyle keşfetmek için kullanılabilir.
- param-miner - Bu eklenti gizli, bağlantısız parametreleri tanımlar. Özellikle web önbellek zehirleme zafiyetlerini bulmak için kullanışlıdır.
- ParamPamPam - Bu araç, GET ve POST parametrelerini brute force yöntemiyle keşfetmek için kullanılır.
- Arjun - HTTP parametre keşif paketi.
- ParamSpider - Web Arşivlerinin karanlık köşelerinden parametreleri çıkarmak için kullanılır.
- x8 - Rust diliyle yazılmış gizli parametre keşif paketi.
- wfuzz - Web uygulama fuzzlayıcı
- ffuf - Go diliyle yazılmış hızlı web fuzzlayıcı
- fuzzdb - Siyah kutu uygulama hata enjeksiyonu ve kaynak keşfi için saldırı kalıpları ve temel veriler sözlüğü.
- IntruderPayloads - Bir koleksiyon Burpsuite Intruder yükleri, BurpBounty yükleri, fuzz listeleri, zararlı dosya yüklemeleri ve web penetrasyon testi metodolojileri ve kontrol listeleri.
- fuzz.txt - Potansiyel olarak tehlikeli dosyalar
- fuzzilli - Bir JavaScript Motor Fuzzlayıcı
- fuzzapi - Fuzzapi, REST API penetrasyon testi için kullanılan ve API_Fuzzer gem'i kullanan bir araç
- qsfuzz - qsfuzz (Sorgu Dizisi Fuzzlayıcı), sorgu dizilerini fuzzlamak ve kolayca zafiyetleri tespit etmek için kendi kurallarınızı oluşturmanıza olanak tanır.
- vaf - Nim diliyle yazılmış çok gelişmiş (web) fuzzlayıcı.
- commix - Otomatikleştirilmiş Hepsi Bir Arada İşletim Sistemi komut enjeksiyonu ve istismar aracı.
- Corsy - CORS Yanlış Yapılandırma Tarayıcı
- CORStest - Basit Bir CORS Yanlış Yapılandırma Tarayıcı
- cors-scanner - Çoklu iş parçacıklı bir tarayıcı, CORS hatalarını/yapılandırmalarını tespit etmeye yardımcı olur
- CorsMe - Kökenler Arası Kaynak Paylaşımı Yanlış Yapılandırma Tarayıcı
- CRLFsuite - Özellikle CRLF enjeksiyonunu tarayarak hızlı bir şekilde tasarlanmış bir araç
- crlfuzz - Go diliyle yazılmış, CRLF zafiyetini hızlı bir şekilde taramak için kullanılan bir araç
- CRLF-Injection-Scanner - Bir liste içindeki alan adlarında CRLF enjeksiyonunu test etmek için komut satırı aracı.
- Injectus - CRLF ve açık yönlendirme (open redirect) fuzzlayıcı
- XSRFProbe - Prime Cross Site Request Forgery (CSRF) Denetim ve Sömürü Aracı.
- dotdotpwn - DotDotPwn - Dizin Gezintisi Fuzzeri
- FDsploit - Dosya Dahil Etme ve Dizin Gezintisi fuzzlama, sıralama ve istismar aracı.
- off-by-slash - NGINX yanlış yapılandırma yoluyla takma ad gezinmesini ölçeklendirmek için Burp uzantısı.
- liffier - Olası yolu kesmek için el ile dot-dot-slash eklemekten sıkıldınız mı? Bu kısa kod parçası URL'de ../'yi artırır.
- liffy - Yerel dosya dahil etme istismarı aracı
- Burp-LFI-tests - Burpsuite kullanarak LFI için Fuzzing işlemi
- LFI-Enum - Numaralandırmayı LFI kullanarak yürüten betikler
- LFISuite - Tamamen Otomatik LFI Sömürücüsü (+ Ters Kabuk) ve Tarayıcı
- LFI-files - LFI için brute force saldırısı yapmak için kelime listesi
- inql - InQL - GraphQL Güvenlik Testi için Bir Burp Eklentisi
- GraphQLmap - GraphQLmap, pentest amaçları için bir graphql uç noktası ile etkileşimde bulunmak için bir komut dosyası motorudur.
- shapeshifter - GraphQL güvenlik test aracı
- graphql_beautifier - GraphQL isteğini daha okunabilir hale getirmeye yardımcı olmak için Burp Suite uzantısı
- clairvoyance - Devre dışı bırakılmış introspeksiyona rağmen GraphQL API şemasını elde etmek!
- headi - Özelleştirilebilir ve otomatik HTTP başlık enjeksiyonu.
- ysoserial - Güvensiz Java nesne deserializasyonunu istismar eden yükler üreten bir konsept kanıt aracı.
- GadgetProbe - Uzak Java sınıf yollarındaki sınıfları, kütüphaneleri ve kütüphane sürümlerini belirlemek için Java serileştirilmiş nesneleri tüketen uç noktaları sorgulayan bir araç.
- ysoserial.net - Çeşitli .NET biçimleyiciler için deserializasyon yükü üretici bir araç
- phpggc - PHPGGC, unserialize() işlevi için PHP yükleri kütüphanesi ve bunları komut satırından veya programlı olarak üreten bir araç.
- Autorize - Barak Tawily tarafından geliştirilen, Burp Suite için Jython ile yazılmış otomatik yetkilendirme denetimi tespit uzantısı.
- Oralyzer - Açık Yönlendirme Analiz Aracı
- Injectus - CRLF ve açık yönlendirme (open redirect) fuzzlayıcı
- dom-red - Açık yönlendirme zafiyetini kontrol etmek için bir alan adı listesini denetleyen küçük bir betik
- OpenRedireX - Açık Yönlendirme sorunları için bir fuzzlayıcı
- razzer - Yarış Koşulu Hatalarına Odaklanan Bir Çekirdek Fuzzer
- racepwn - Yarış Koşulu Çerçevesi
- requests-racer - Web uygulamalarındaki yarış koşullarını Requests ile kolayca istismar etmeyi sağlayan küçük bir Python kütüphanesi.
- turbo-intruder - Turbo Intruder, büyük sayıda HTTP isteği göndermek ve sonuçları analiz etmek için bir Burp Suite uzantısıdır.
- race-the-web - Web uygulamalarındaki yarış koşulları için testler. Sürekli entegrasyon sürecine entegre etmek için RESTful bir API içerir.
- http-request-smuggling - HTTP İstek Smuggling Tespit Aracı
- smuggler - Smuggler - Python 3 ile yazılmış bir HTTP İstek Smuggling / Desync test aracı
- h2csmuggler - HTTP İstek Smuggling'i HTTP/2 Temiz Metin Üzerinden (h2c) gerçekleştirme
- tiscripts - Bu betikler, CLTE ve TECL tarzı saldırılar için İstek Smuggling Desync yükleri oluşturmak için kullandığım betikler.
- SSRFmap - Otomatik SSRF fuzzlayıcı ve istismar aracı
- Gopherus - Bu araç, çeşitli sunucularda SSRF istismarı ve RCE kazanmak için gopher bağlantısı üretir
- ground-control - Web sunucumda çalışan betik koleksiyonu. Temel olarak SSRF, kör XSS ve XXE zafiyetleri için hata ayıklama amacıyla kullanılır.
- SSRFire - Otomatik bir SSRF bulucu. Sadece alan adınızı ve sunucunuzu verin ve rahatlayın! ;) Ayrıca XSS ve açık yönlendirmeleri bulma seçenekleri de bulunur
- httprebind - DNS rebind tabanlı SSRF saldırıları için otomatik bir araç
- ssrf-sheriff - Go ile yazılmış basit bir SSRF test şerifi
- B-XSSRF - Kör XSS, XXE ve SSRF'yi tespit etmek ve izlemek için araç takımı
- extended-ssrf-search - Parametre brute forcing gibi farklı yöntemler kullanarak akıllı bir ssrf tarayıcısı
- gaussrf - Bilinen URL'leri AlienVault's Open Threat Exchange, Wayback Machine ve Common Crawl'dan alır ve OpenRedirection veya SSRF Parametreleri ile URL'leri filtreler.
- ssrfDetector - Sunucu tarafı istek sahteciliği tespit aracı
- grafana-ssrf - Grafana'da kimlik doğrulamalı SSRF
- sentrySSRF - Sentry yapılandırmasını sayfada veya javascript dosyalarında aramak ve kör SSRF kontrol etmek için araç
- lorsrf - SSRF zafiyeti bulmak için Gizli parametreler üzerinde GET ve POST yöntemlerini kullanarak brute force yapar
- singularity - Bir DNS rebinding saldırı çerçevesi.
- whonow - Hava'da DNS Rebinding saldırıları gerçekleştirmek için bir "zararlı" DNS sunucusu (rebind.network:53 üzerinde çalışan genel bir örnek mevcut)
- dns-rebind-toolkit - DNS rebind saldırıları oluşturmak için ön yüz JavaScript araç takımı.
- dref - DNS Rebinding İstismarı Çerçevesi
- rbndr - Basit DNS Rebinding Hizmeti
- httprebind - DNS rebind tabanlı SSRF saldırıları için otomatik bir araç
- dnsFookup - DNS rebind araç takımı
- sqlmap - Otomatik SQL enjeksiyonu ve veritabanı ele geçirme aracı
- NoSQLMap - Otomatik NoSQL veritabanı sayısal sıralama ve web uygulama istismarı aracı
- SQLiScanner - Charles ve sqlmap API ile otomatik SQL enjeksiyonu
- SleuthQL - Potansiyel SQL enjeksiyon noktalarını keşfetmek için Python3 Burp Geçmiş analiz aracı. SQLmap ile birlikte kullanılması amaçlanmıştır.
- mssqlproxy - mssqlproxy, soket yeniden kullanımı yoluyla kısıtlanmış ortamlarda yanal hareketi gerçekleştirmek için hedef alınmış bir Microsoft SQL Sunucusu üzerinden çalışan bir araç takımıdır.
- sqli-hunter - SQLi-Hunter, SQLi kazmaktan zorlanmadan yapan basit bir HTTP / HTTPS proxy sunucusu ve SQLMAP API sarmalayıcısıdır.
- waybackSqliScanner - Wayback Machine'den URL'leri toplayarak her GET parametresini SQL enjeksiyonu açısından test eder.
- ESC - Evil SQL Client (ESC), gelişmiş SQL Server keşfi, erişimi ve veri çıkarma özelliklerine sahip etkileşimli bir .NET SQL konsol istemcisidir.
- mssqli-duet - RID brute forcing temelli bir Active Directory ortamından etki edilmiş Microsoft SQL Server üzerinden etkileşimli hareket yapmak için bir SQL enjeksiyon komut dosyası
- burp-to-sqlmap - SQLMap kullanarak Burp Suite Toplu İstekler üzerinde SQLInjection testi gerçekleştirme
- BurpSQLTruncSanner - Karmaşık bir BurpSuite eklentisi olan SQL Kesme açıklıkları için.
- andor - Golang ile yazılmış Kör SQL Enjeksiyon Aracı
- Blinder - Zaman tabanlı kör SQL enjeksiyonunu otomatikleştiren bir Python kütüphanesi
- sqliv - Büyük çaplı SQL enjeksiyon zafiyet tarama aracı
- nosqli - MongoDB kullanan zafiyetli web sitelerini bulmak için NoSQL Enjeksiyonu CLI aracı
- XSStrike - En gelişmiş XSS tarama aracı.
- xssor2 - XSS'OR - JavaScript ile hackleme.
- xsscrapy - XSS örümceği - 66/66 wavsep XSS tespit edildi
- sleepy-puppy - Sleepy Puppy XSS Yük Yönetim Çerçevesi
- ezXSS - ezXSS, zafiyet avcıları ve ödül avcıları için (kör) Çapraz Site Komut Dosyası test etmek için kolay bir yoldur.
- xsshunter - XSS Hunter hizmeti - XSSHunter.com'un taşınabilir bir sürümü
- dalfox - DalFox(Finder Of XSS) / Parametre Analizi ve golang temelli XSS Tarama aracı
- xsser - Cross Site "Scripter" (yani XSSer), web tabanlı uygulamalardaki XSS zafiyetlerini tespit etmek, istismar etmek ve raporlamak için otomatik bir -çerçeve- aracıdır.
- XSpear - Güçlü XSS Tarama ve Parametre analizi aracı ve modülü
- weaponised-XSS-payloads - alert(1)'i P1'e dönüştürmek için tasarlanmış XSS yükleri
- tracy - Web uygulamasının tüm çıkışlarını ve kaynaklarını bulmaya yardımcı olması için tasarlanmış bir araç ve sonuçları anlaşılır bir şekilde gösterir.
- ground-control - Web sunucumda çalışan betik koleksiyonu. Temel olarak SSRF, kör XSS ve XXE zafiyetleri için hata ayıklama amacıyla kullanılır.
- xssValidator - Bu, otomasyon ve XSS zafiyetlerinin doğrulanması için tasarlanmış bir burp intruder uzantısıdır.
- JSShell - Etkileşimli çok kullanıcılı web JS kabuğu
- bXSS - bXSS, hata avcıları ve organizasyonlar tarafından Kör Çapraz Site Komut Dosyası tespiti yapmak için kullanılabilen bir yardımcı programdır.
- docem - docx,odt,pptx,etc (OXML_XEE steroids üzerinde) içine XXE ve XSS yüklerini gömmek için araç
- XSS-Radar - XSS Radar, parametreleri tespit eder ve bunları çapraz site komut dosyası açıklıkları için taramaya tabi tutar.
- BruteXSS - BruteXSS, web uygulamasındaki XSS zafiyetlerini bulmak için yazılmış basit bir python aracıdır.
- findom-xss - Basit bir DOM tabanlı XSS zafiyet tarayıcısı.
- domdig - Tek Sayfalı Uygulamalar için DOM XSS tarayıcısı
- femida - Burp Suite için otomatik kör-xss araması
- B-XSSRF - Kör XSS, XXE ve SSRF tespiti ve izlemesi için araç takımı
- domxssscanner - DOMXSS Tarayıcı, DOM tabanlı XSS zafiyetleri için kaynak kodunu taramak için çevrimiçi bir araçtır.
- xsshunter_client - XSSHunter için eşlenmiş enjeksiyon proxy aracı
- extended-xss-search - xssfinder aracımın daha iyi bir versiyonu - bir URL listesinde farklı türde XSS taraması yapar.
- xssmap - XSSMap, XSS zafiyetlerini tespit etmek için geliştirilmiş Python3 tabanlı bir araçtır.
- XSSCon - XSSCon: Basit bir XSS Tarama aracı
- BitBlinder - Çapraz Site Komut Dosyası açıklıklarını tespit etmek için her form/istek gönderildiğinde özel çapraz site komut dosyası yükleri enjekte etmek için BurpSuite uzantısı
- XSSOauthPersistence - XSS ve Oauth ile hesap kalıcılığını sürdürmek
- shadow-workers - Shadow Workers, XSS ve kötü amaçlı Servis İşçileri (SW) istismarı konusunda sızdırmazlık testçilerine yardımcı olması için tasarlanmış ücretsiz ve açık kaynaklı bir C2 ve proxy'dir
- rexsser - Bu, yanıtın içinden anahtar kelimeleri çıkaran ve hedef kapsamında yansıtılan XSS'i test eden bir burp eklentisidir.
- xss-flare - Cloudflare sunucusundaki XSS avcısı.
- Xss-Sql-Fuzz - burpsuite eklentisi GP tüm parametrelerini (özel parametreleri filtrelemek) tek tıklamayla xss sql yüklemeleri eklemek için Fuzz yapar
- vaya-ciego-nen - Kör Çapraz Site Komut Dosyası (XSS) açıklıklarını tespit etme, yönetme ve istismar etme.
- dom-based-xss-finder - DOM tabanlı XSS zafiyetlerini bulan Chrome uzantısı
- XSSTerminal - Etkileşimli yazma kullanarak kendi XSS Yükünüzü geliştirin
- xss2png - PNG IDAT parçaları XSS yükü üretici
- XSSwagger - Eski sürümleri XSS saldırılarına karşı savunmasız olan basit bir Swagger-ui tarayıcısı
- ground-control - SSRF, kör XSS ve XXE zafiyetlerini hata ayıklama için kullanılan betik koleksiyonu.
- dtd-finder - DTD'leri listeler ve bu yerel DTD'ler kullanılarak XXE yükleri oluşturur.
- docem - docx, odt, pptx gibi dosya türlerine XXE ve XSS yükleri gömme aracı (OXML_XEE güçlendirilmiş hali).
- xxeserv - XXE yükleri için FTP desteği olan mini bir web sunucusu.
- xxexploiter - XXE zafiyetlerini istismar etmeye yardımcı olan araç.
- B-XSSRF - Kör XSS, XXE ve SSRF tespiti ve izlemesi için araç takımı.
- thc-hydra - Hydra, çok sayıda protokolü hedef almak için destek sunan paralel bir giriş kırıcıdır.
- DefaultCreds-cheat-sheet - Tüm varsayılan kimlik bilgilerini bir araya getiren bir kaynak; varsayılan şifreli cihazları bulmada Mavi/Kırmızı takımın yardımcı olur.
- changeme - Varsayılan kimlik bilgilerini taramak için bir araç.
- BruteX - Hedefte çalışan tüm hizmetleri otomatik olarak kaba kuvvet saldırısı yapmak için kullanılır.
- patator - Patator, modüler bir tasarıma ve esnek bir kullanıma sahip çok amaçlı bir kaba kuvvet saldırısı aracıdır.
- git-secrets - Sizi git depolarına gizli bilgi ve kimlik bilgilerini taşımanızı engeller.
- gitleaks - Gizli bilgileri regex ve entropi kullanarak tarayan bir git depolarını (veya dosyalarını) tarar.
- truffleHog - Yüksek entropili dizeleri ve gizli bilgileri git depolarında arar, taahhüt geçmişine derinlemesine iner.
- gitGraber - gitGraber: GitHub'ı izler, farklı çevrimiçi hizmetlerde hassas veri arar ve gerçek zamanlı olarak bulur.
- talisman - Git tarafından sağlanan ön itme kanca noktasına entegre olarak, Talisman çıkış yapmış değişiklik setini yetkisiz gibi görünen şeyler açısından doğrular - örneğin yetkilendirme belirteçleri ve özel anahtarlar.
- GitGot - Yarı otomatik, geribildirim odaklı bir araç olan GitGot, hassas gizli bilgileri hızlı bir şekilde aramak için GitHub üzerindeki genel veri kalabalıklarını tarar.
- git-all-secrets - Çeşitli açık kaynaklı git arama araçlarını kullanarak tüm git gizli bilgilerini yakalamak için bir araç.
- github-search - GitHub üzerinde temel arama yapmak için araçlar.
- git-vuln-finder - Olası yazılım güvenlik açıklarını git taahhüt mesajlarından bulma.
- commit-stream - Github etkinlik API'sinden taahhüt günlüklerini gerçek zamanlı olarak çıkararak Github depolarını bulmak için bir OSINT aracı.
- gitrob - GitHub organizasyonları için keşif aracı
- repo-supervisor - Kodunuzu güvenlik yanlış yapılandırmaları, parolaları ve gizli bilgileri tarar.
- GitMiner - İleri madencilik için bir araçtır ve GitHub üzerinde içerik madenciliği yapar.
- shhgit - Ah shhgit! Gerçek zamanlı olarak GitHub gizli bilgileri bulur.
- detect-secrets - Kod içindeki gizli bilgileri algılamanın ve önlemenin işletme dostu bir yoludur.
- rusty-hog - Performans için Rust dilinde inşa edilmiş bir dizi gizli tarama aracı. TruffleHog'a dayalıdır.
- whispers - Sabitlenmiş gizli bilgileri ve tehlikeli davranışları belirleme
- yar - Örgütleri, kullanıcıları ve/veya depoları yağmalamak için bir araçtır.
- dufflebag - Açık EBS hacimlerini gizli bilgiler için tarar
- secret-bridge - Sızan gizli bilgileri izler
- earlybird - Erken Kuş, kaynak kodu depolarını tarar ve açık metin parola ihlalleri, PII, eski şifreleme yöntemleri, anahtar dosyaları ve daha fazlasını bulma yeteneğine sahip bir hassas veri tespit aracıdır.
- Trufflehog-Chrome-Extension - Trufflehog-Chrome-Extension
- noseyparker - Nosey Parker, metin verilerinde ve Git geçmişinde gizli bilgileri ve hassas bilgileri bulan komut satırı programı.
- GitTools - Pwn'ing için 3 araç içeren bir depo: .git depoları olan web siteleri
- gitjacker - Yanlış yapılandırılmış web sitelerinden git depolarını sızdırır
- git-dumper - Bir web sitesinden git deposunu döken bir araç
- GitHunter - İlginç içerik aramak için bir Git deposunu arayan bir araç
- dvcs-ripper - Web erişilebilir (dağıtılmış) sürüm kontrol sistemlerini yırtar: SVN/GIT/HG...
- Gato (Github Attack TOolkit) - GitHub Kendi Barındıran Çalıştırıcı Numaraları ve Saldırı Aracı
- S3Scanner - Açık AWS S3 kovalarını tarar ve içeriğini döker.
- AWSBucketDump - S3 Kovalarında İlginç Dosyaları Aramak İçin Güvenlik Aracı.
- CloudScraper - BulutScraper: Bulut kaynaklarını aramak için hedefleri sıralama aracı. S3 Kovaları, Azure Blokları, Digital Ocean Depolama Alanı.
- s3viewer - Genel olarak açık Amazon AWS S3 Kova Görüntüleyicisi.
- festin - FestIn - S3 Kova Zayıflığı Keşfi
- s3reverse - Farklı S3 kovalarının formatını tek bir formata dönüştürür; hata avı ve güvenlik testleri için kullanılır.
- mass-s3-bucket-tester - Belirli bir listeyi tarayarak S3 kovalarını test eder, dizin listeleme etkin mi veya yüklenebilir mi diye kontrol eder.
- S3BucketList - Taleplerde bulunan Amazon S3 Kovalarını listeleyen Firefox eklentisi.
- dirlstr - Bir URL listesindeki dizin listelerini veya açık S3 kovalarını bulur.
- Burp-AnonymousCloud - Bulut kovalarını belirlemek ve ardından bunları kamu erişilebilir zafiyetler için test etmek için pasif tarama yapan Burp eklentisi.
- kicks3 - HTML, JS ve kova yapılandırma testi aracılığıyla S3 kovalarını bulma aracı.
- 2tearsinabucket - Belirli bir hedef için S3 kovalarını sıralar.
- s3_objects_check - Etkili S3 nesne izinlerinin beyaz kutu değerlendirmesi; kamu erişilebilir dosyaları tanımlamak için kullanılır.
- s3tk - Amazon S3 için bir güvenlik araç takımı
- CloudBrute - Harika bir bulut numaralandırıcı
- s3cario - Bu araç, önceki bir Amazon S3 kovası olup olmadığını kontrol eder ve ardından değilse etki alanının bir kova adı olup olmadığını kontrol etmeye çalışır.
- S3Cruze - Pentester'lar için her şeyi içeren bir AWS S3 kova aracı.
- wpscan - WPScan, ticari olmayan kullanım için ücretsiz olan, siyah kutu WordPress güvenlik tarayıcısı
- WPSpider - wpscan yardımcı programı tarafından desteklenen WordPress taramalarını çalıştırmak ve zamanlamak için merkezi bir gösterge paneli.
- wprecon - Wordpress Keşfi
- CMSmap - CMSmap, en popüler CMS'lerin güvenlik açıklarını tespit etme sürecini otomatikleştiren bir python açık kaynak CMS tarayıcısıdır.
- joomscan - OWASP Joomla Güvenlik Açığı Tarayıcı Projesi
- pyfiscan - Ücretsiz web uygulama açığı ve sürüm tarayıcısı
- jwt_tool - JSON Web Token'ları test etmek, ayarlamak ve çözmek için bir araç takımı
- c-jwt-cracker - C dilinde yazılmış JWT brute force kırıcı
- jwt-heartbreaker - Bilinen genel kaynaklardan gelen anahtarlarla JWT (JSON Web Token) kontrolü yapmak için Burp uzantısı
- jwtear - Hackerlar için JWT belgelerini ayrıştırmak, oluşturmak ve manipüle etmek için modüler bir komut satırı aracı
- jwt-key-id-injector - Hipotetik JWT güvenlik açıklarına karşı kontrol etmek için basit bir Python betiği
- jwt-hack - JWT'leri (JSON Web Token) hacklemek ve güvenlik testi yapmak için bir araç
- jwt-cracker - Basit HS256 JWT belge kaba kuvvet kırıcısı
- postMessage-tracker - postMessage kullanımını (URL, etki alanı ve yığın) CORS ile kaydederek ve genişletme simgesi olarak hem kayıt hem de görsel olarak izlemek için bir Chrome Eklentisi
- PostMessage_Fuzz_Tool - #BugBounty #BugBounty Araçları #WebDeveloper Aracı
- subjack - Go dilinde yazılmış Alt Alan Ele Geçirme aracı
- SubOver - Güçlü bir Alt Alan Ele Geçirme aracı
- autoSubTakeover - Bir CNAME'nin kapsam adresine çözünüp çözünmediğini kontrol etmek için kullanılan bir araç. CNAME, kapsam dışı bir adrese çözünüyorsa, alt alan ele geçirme olasılığını kontrol etmek mantıklı olabilir.
- NSBrute - AWS NS Ele Geçirme açığına karşı savunmasız alanları ele geçirmek için kullanılan Python aracı
- can-i-take-over-xyz - "XYZ'yi ele geçirebilir miyim?" — hizmetlerin listesi ve sallanan DNS kayıtlarıyla (alt)alanları nasıl talep edeceğiniz.
- cnames - Çözülen alt alan listesini alır ve toplu olarak ilgili CNAME'leri döndürür.
- subHijack - Unutulmuş ve yanlış yapılandırılmış alt alan ele geçirme
- tko-subs - Ölü DNS kayıtlarıyla alt alan ele geçirme olasılığını tespit etmeye ve ele geçirmeye yardımcı olan bir araç
- HostileSubBruteforcer - Bu uygulama mevcut alt alanları bruteforce eder ve 3. tarafın ana bilgisayarın doğru şekilde ayarlandığını kontrol eder.
- second-order - İkinci aşama alt alan ele geçirme taraması
- takeover - Alt alan ele geçirme olasılıklarını kitle çekiminde test etmek için bir araç
- dnsReaper - DNS Reaper, başka bir alt alan ele geçirme aracıdır, ancak hassasiyet, hız ve silah deposundaki imza sayısı üzerinde vurgu yapar!
- nuclei - Şablonlara dayalı hedef odaklı tarama için hızlı bir araç olan Nuclei, büyük ölçüde genişletilebilirlik ve kullanım kolaylığı sunar.
- Sn1per - Saldırgan güvenlik uzmanları için otomatik pentest çerçevesi
- metasploit-framework - Metasploit Framework
- nikto - Nikto web sunucusu tarayıcı
- arachni - Web Uygulama Güvenliği Tarayıcı Çerçevesi
- jaeles - Otomatik Web Uygulama Testi için İsviçre Çakısı
- retire.js - Bilinen güvenlik açıkları olan JavaScript kütüphanelerini tespit eden tarayıcı
- Osmedeus - Keşif ve zafiyet taraması için tamamen otomatikleştirilmiş saldırgan güvenlik çerçevesi
- getsploit - Saldırıları aramak ve indirmek için komut satırı yardımcı programı
- flan - Oldukça güzel bir zafiyet tarayıcı
- Findsploit - Yerel ve çevrimiçi veritabanlarında hızlıca saldırıları bulun
- BlackWidow - Hedef web sitesinde OWASP zafiyetlerini toplamak ve fuzz yapmak için Python tabanlı bir web uygulama tarayıcı
- backslash-powered-scanner - Bilinmeyen enjeksiyon açıkları sınıflarını bulur
- Eagle - Kit tabanlı çoklu iş parçacıklı zafiyet tarayıcı, web tabanlı uygulama zafiyetlerini kitle tespiti için
- cariddi - Alan listesi alır, URL'leri gezinir ve uç noktaları, sırları, API anahtarlarını, dosya uzantılarını, belirteçleri vb. taramak için tarar
- OWASP ZAP - Dünya genelinde en popüler ücretsiz web güvenliği araçlarından biri olan OWASP ZAP ve uluslararası gönüllüler tarafından aktif olarak bakımı yapılır
- SSTImap - SSTImap, web sitelerini Kod Enjeksiyonu ve Sunucu Tarafı Şablon Enjeksiyonu zafiyetleri için kontrol edebilen ve onları istismar edebilen bir penetrasyon testi yazılımıdır.
- JSONBee - Farklı web sitelerinin içerik güvenlik politikasını (CSP) aşmak için kullanılmaya hazır JSONP uç noktaları/payloadları.
- CyberChef - Siber İsviçre Çakısı - şifreleme, kodlama, sıkıştırma ve veri analizi için web uygulaması
- bountyplz - Markdown şablonlarından otomatik güvenlik raporlama (HackerOne ve Bugcrowd şu anda desteklenen platformlardır)
- PayloadsAllTheThings - Web Uygulama Güvenliği ve Pentest/CTF için kullanışlı payload ve bypass listesi
- bounty-targets-data - Bu depo, bildirime uygun olan günlük güncellenen veri dökümlerini içerir (Hackerone/Bugcrowd/Intigriti gibi ödül avı platformlarının kapsamları)
- android-security-awesome - Android güvenliği ile ilgili kaynakların bir koleksiyonu
- awesome-mobile-security - Tüm kullanışlı android ve iOS güvenlik ile ilgili kaynakları tek bir yerde toplama çabası.
- awesome-vulnerable-apps - Harika Zafiyetli Uygulamalar
- XFFenum - X-Forwarded-For [403 forbidden] taraması
- httpx - httpx, yeniden denenir http kütüphanesi kullanarak birden fazla prob yapma olanağı sağlayan hızlı ve çok amaçlı bir HTTP aracıdır. Sonuç güvenilirliğini artırılmış iş parçacıkları ile korumak için tasarlanmıştır.
- csprecon - İçerik Güvenlik Politikası kullanarak yeni hedef alanlar keşfetme