http://www.freebuf.com/sectool/106147.html
https://github.com/xmendez/wfuzz
https://github.com/fxkjd/simple-http-fuzzer
https://tokula.com/article/luna_scanner
https://github.com/brianwrf/NagaScan
DNSLog与xunfeng、XSS平台进行整合
https://github.com/BugScanTeam/DNSLog
https://github.com/ysrc/xunfeng
Assets View资产发现、网络拓扑管理系统
https://github.com/Cryin/AssetsView
参考 recon 系列
https://zseano.com/tutorials/6.html
甲方相关工具
https://github.com/grayddq
企业安全建设系列文章
http://www.freebuf.com/author/grayddq
Github信息泄漏检索
https://github.com/wufeifei/GSIL
Cobra代码审计
https://github.com/wufeifei/cobra
邓永凯
参加过的安全会议:
2017第二届SSC安全峰会
发表过的会议议题:
基于Python的自动化代码审计 (2017-09-25)
http://www.itdks.com/course/5719
发表过的会议议题:
理想与现实-浅谈机器学习和专家经验在Webshell发现中的作用 (2017-09-25)
个人事务管理
https://github.com/wufeifei/grw
Trello 个人/团队 项目/工作流管理
github自动备份机 对抗 DCMA Takedown
团队知识管理系统
『安全开发教程』年轻人的第一款弱口令扫描器(x-crack)
https://github.com/netxfly/x-crack
熟悉 Docker
熟悉 ElasticSearch
熟悉 gitbook的制作
Zabbix
Jenkins
白盒审计/Java路线 (刷CVE)
企业安全方向(重视防御与响应)
WiFi、无线电、4G方向
工控方向
IoT方向
红队基础设施
- DanderSpritz 及其他植入工具 (可靠的RAT C&C服务器)
- Cobalt Strike 服务器
- XSS平台/BeEF API
- DNSLog/CEYE
- MSF服务器 (Metasploit Pro)
- 私有Shodan, Fofa, Zoomeye
- 高交互蜜罐 (收集公网在野利用payload)
- 门禁复制/ Proxmark V
- 八木天线等无线电利用工具/ WiFi Pineaplle/ BadUSB / LAN Turtle
- TEMPEST 利用工具
- 漏洞利用wiki知识库
- 自研fuzzing工具 WAF
- 商业及自研代码审计工具
- Tor & ONION Proxy Server 全流量代理
- 常见取证工具
- 白数字证书(RAT签名)
- 被动DNS及威胁情报服务
- App漏扫应用(梆梆安全内部版或其他) Janus
- HID定制化工具 例如 鼠标+BadUSB, 键盘+BadUSB, U盘+BadUSB, 手机/sys层木马直接送
- 蓝牙键鼠劫持
常见商业漏扫
AWVS
Nessus
Appscan
Nexpose
Rapid7 AppSpider
Bugscan
自研漏扫
xunfeng
用xunfeng主要关注商业漏扫忽略的部分
比如 es,redis,weblogic 等的弱口令或其他部署型漏洞
