- 5
- 0
- 7 Авг 2025
Любой сайт можно ковырнуть — вопрос только в твоей компетенции. Разработчики часто оставляют дыры: забытые директории, токены в репозиториях, незащищённые параметры и тд. Всё это может стать твоей добычей. Я подготовил список автоматизированных сканеров для поиска уязвимостей с которыми так или иначе придётся работать, независимо от уровня.
→ GitHub
→ GitHub
→ GitHub
→ GitHub
→ GitHub
→ GitHub
→ GitHub
→ GitHub
ТОП-5 инструментов для новичка
1. Nmap + Nmap-bootstrap-xsl
Классика. Nmap — твой сканер портов, Nmap-bootstrap-xsl делает из “сырых логов” удобные HTML-отчёты. С этого начинают все, кто хоть раз трогал баг-баунти.→ GitHub
2. Gobuster
Простой и злой брутер директорий и поддоменов. Быстро проходит по словарю и показывает, где у сайта торчат лишние двери.→ GitHub
3. Aquatone
Разведка поддоменов + скриншоты страниц. Удобно, когда нужно наглядно увидеть поверхность атаки. Часто помогает заметить “висячие” сервисы, забытые админами.→ GitHub
4. XSStrike
Инструмент для охоты на XSS. Ищет отражённые и DOM-based баги, пробивает WAF и автоматизирует то, что вручную заняло бы часы.→ GitHub
5. SecLists
Библия словарей. Поддомены, пароли, директории — всё уже собрано за тебя. Это топливо для большинства сканеров.→ GitHub
ТОП-3 инструмента для продвинутых
1. Reconftw
Скрипт-монстр, который автоматизирует всё: от сбора поддоменов и поиска открытых S3-бакетов до проверки XSS, SQLi и LFI. Запустил один раз — и получил полный отчёт по цели.→ GitHub
2. Sn1per
Комбайн, который умеет почти всё: OSINT, скан портов, поиск багов, брут и даже “ковровые бомбардировки” по целям. Есть бесплатная Community-версия и платная Pro. Инструмент тяжёлый, но мощный.→ GitHub
3. TIDoS Framework
Фреймворк с более чем сотней модулей. Делает полный цикл: разведка, анализ, эксплуатация. Работает как Metasploit для веба — выбираешь модули и комбинируешь под задачу.→ GitHub
Заключение
Эти инструменты закрывают базу: от разведки и поиска дыр до автоматизации серьёзных атак. Сканеров на самом деле гораздо больше, но этих инструментов хватит с головой. Всё в ознакомительных целях, ну вы понимаете- Автор/Источник
- tgk : @wannacry_channel
