New Add-ons

دو افزونه جدید با کیفیت «آلفا» در دسترس هستند:
Access Control Testing:
قابلیت خودکارسازی بسیاری از جنبه های تست کنترل دسترسی را اضافه می کند.
Sequence Scanning:
قابلیت اسکن "sequences" صفحات وب، به عبارت دیگر صفحاتی را که باید به ترتیب دقیق بازدید شوند تا به درستی کار کنند را اضافه می کند.
این هر دو را می توان از بازار ZAP دانلود کرد.

New Scan Rules

تعدادی اسکنر جدید با کیفیت «آلفا» در دسترس هستند:
آشفتگی مسیر نسبی: به ZAP اجازه می‌دهد تا مسائلی را که ممکن است منجر به XSS شود، با تشخیص اینکه آیا مرورگر می‌تواند فریب HTML را به عنوان CSS تفسیر کند، اسکن کند.
افشای پروکسی: به ZAP اجازه می‌دهد تا پراکسی‌های رو به جلو و معکوس را بین نمونه ZAP و وب سرور اصلی / سرور برنامه شناسایی کند.

Storability / Cacheability:
به ZAP اجازه می دهد تا به طور غیر فعال تعیین کند که آیا یک صفحه توسط یک حافظه پنهان مشترک قابل ذخیره است یا خیر، و آیا می توان آن را از آن حافظه پنهان در پاسخ به یک درخواست مشابه ارائه کرد. این هم از نظر حریم خصوصی و هم از منظر عملکرد برنامه مفید است. اسکنر از RFC 7234 پیروی می کند.
همچنین پشتیبانی از راه دور مستقیم وب به عنوان بردار ورودی برای همه قوانین اسکن اضافه شده است.

Changed Scan Rules

External Redirect:

شناسه این افزونه از 30000 به 20019 تغییر کرده است تا با گروه بندی های ایجاد شده هماهنگی بیشتری داشته باشد. (این تغییر ممکن است برای کاربران API مهم باشد). علاوه بر این، برخی تغییرات جزئی برای جلوگیری از برخورد بین مقادیر تزریق شده و محتوای درون صفحه و بهبود عملکرد اعمال شده است. (مسائل: 1529 و 1569)

Session ID in URL Rewrite:

این افزونه با بررسی حداقل طول برای مقدار پارامترهای مورد نظر به روز شده است. یک وضعیت مثبت کاذب مربوط به این افزونه (مسئله 1396) مطرح شد که به موجب آن sID=5 یک یافته را راه‌اندازی می‌کند. حداقل طول برای شناسه های جلسه همانطور که این افزونه آنها را تفسیر می کند اکنون هشت (8) کاراکتر است.

Client Browser Cache:

قانون اسکن فعال TestClientBrowserCache حذف شده است. بررسی های انجام شده توسط قانون اسکن غیرفعال CacheControlScanner اندکی اصلاح شده است. (مسأله 1499)
#ZAP_attack_proxy
@TryHackBox

2.W3af

W3af
یکی از فریم ورک های حسابرسی و حمله برنامه‌های وب است که با استفاده از پایتون توسعه یافته است.

این ابزار به سادگی پنتسترها را قادر می سازد تا بیش از 200 نوع مشکل امنیتی را در برنامه های کاربردی وب پیدا کنند.

W3af
دارای یک رابط خط فرمان است و روی Linux، Apple Mac OS X و Microsoft Windows کار می کند. w3af اساساً به دو بخش اصلی طبقه بندی می شود که عبارتند از هسته و پلاگین.

بخش اصلی پروسس را تنظیم می کند و ویژگی هایی را که توسط پلاگین ها اعمال می شود، ارائه می دهد. از این رو، آسیب پذیری ها را دریافت می کند و از آنها استفاده می کند.

علاوه بر این، افزونه‌ها با هم مرتبط هستند و اطلاعات را با استفاده از پایگاه داده به اشتراک می‌گذارند.

Features:-

Blind SQL injection

Cross-site noscripting

Payloads injection

CSRF

Insecure DAV configuration

#w3af
@TryHackBox

اسکن 10 OWASP top با w3af - یک اسکنر امنیتی برنامه وب منبع باز

w3af
یک اسکنر امنیتی برنامه‌های وب منبع باز (OWASP Top 10) است که به توسعه‌دهندگان و پنتسترها امکان می‌دهد آسیب‌پذیری‌ها را در برنامه‌های وب خود به‌ویژه ۱۰ آسیب‌پذیری برتر OWASP تشخیص داده و از آن‌ها سوء استفاده(exploit) کنند.

این ابزار همچنین فریم ورک رابط کاربری گرافیکی را ارائه می‌کند، اما متأسفانه بیشتر اوقات حالت رابط کاربری گرافیکی قطع می‌شود، اکثر موارد توصیه‌شده برای کار با w3afconsole.

همچنین به عنوان "Metasploit برای وب" نامیده می شود، اما در واقع، بیش از این است. w3af از تکنیک‌های اسکن جعبه سیاه استفاده می‌کند و بیش از 130 پلاگین دارد و می‌تواند بیش از 200 آسیب‌پذیری از جمله XSS، Injection، LFI، و RFI، CSRF و موارد دیگر را شناسایی کند.

برای شروع با w3af root@kali:~# w3af و سپس برای بارگیری منوی راهنما w3af>>> help.



برای پیمایش نمایه‌ها w3af>>> profiles و فهرست کردن همه گزینه‌های ممکن  w3af/profiles>>> list


شما باید نمایه را به عنوان OWASP_10 انتخاب کنید

w3af/profiles>>> use OWASP_10

سپس باید هدف را برای شروع Scan w3af/profiles>>>back مشخص کنید. برای بازگشت به منوی اصلی و سپس

w3af>>> target

w3af/config:target>>> set target domain.com

w3af/config:target>>> save

w3af/config:target>>> back

It will save all the configurations.

تمام تنظیمات را ذخیره می کند

سپس باید اسکن را با w3af شروع کنید.

w3af >>start

به طور معمول اسکن حدود 20 دقیقه طول می کشد تا تمام 10 آسیب پذیری برتر OWASP تکمیل شود، بسته به هدف ممکن است متفاوت باشد.

#w3af
@TryHackBox

اگر پستی را دوست داشتید با ( 👍 یا 🔥 ) و پستی را دوست نداشتید ( 👎 ) . مشخص کنید

.

3 . Arachni

برای تشخیص مسائل امنیتی در داخل یک صفحه وب ایجاد شده است، و اساساً یک ابزار تست حفاظت از امنیت منبع باز است که می‌تواند چندین آسیب‌پذیری را کشف کند.

علاوه بر این، به بررسی امنیت برنامه های کاربردی وب کمک می کند و به عنوان یک متاآنالیز بر روی تأییدیه های HTTP که در طی یک روش ممیزی دریافت می کند کار می کند و بینش های متعددی را ارائه می دهد و می داند چگونه برنامه را ایمن کنید.


فیچرها :

Local and remote file inclusion

SQL injection

XSS injection

Invalidated redirect

#Arachni
@TryHackBox

نحوه استفاده از Arachni برای اسکنر آسیب پذیری وب


ابزارهای مختلفی برای اسکن آسیب پذیری وب وجود دارد. در اینجا در این پست، می‌خواهم نحوه استفاده از Arachni را برای اسکن آسیب‌پذیری وب نشان دهم. این ابزار برای لینوکس، مک و ویندوز به عنوان کامندلاین و رابط وب در دسترس است. در اینجا، من شما را به نصب در لینوکس و مک راهنمایی می کنم. و کامند لاین را برای استفاده باز کنید .


Download in Linux

$ wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-linux-x86_64.tar.gz

Download in Mac

$ wget https://github.com/Arachni/arachni/releases/download/v1.5.1/arachni-1.5.1-0.5.12-darwin-x86_64.tar.gz

می توانید با کلیک روی لینک های بالا از طریق مرورگر خود نیز دانلود کنید. برای استخراج فایل ها می توانید از یک استخراج کننده مبتنی بر رابط کاربری گرافیکی استفاده کنید. من دستوری را به شما نشان می دهم که برای استخراج استفاده کنید

$ tar xvf arachni-1.5.1–0.5.12-linux-x86_64.tar.gz

اکنون فایل آرشیو را استخراج کرده اید. می توانید دایرکتوری استخراج شده (در مورد من ~/bin/arachni است) را به مسیر اجرایی خود اضافه کنید. فایل ~/.bashrc را باز کرده و اضافه کنید

export PATH=”$PATH:~/bin/arachni/bin/

اکنون می توانید از خط فرمان خود به arachni دسترسی داشته باشید. دستور اصلی برای اسکن وب عبارت است از:

$ arachni http://example.com

اگر می‌خواهید از نسخه مبتنی بر وب استفاده کنید، می‌توانید دستور arachni_web را اجرا کنید و می‌توانید به رابط وب در http://localhost:9292 دسترسی پیدا کنید. برای ورود به عنوان مدیر استفاده کنید

username = admin@admin.admin
password = administrator

و برای دسترسی به عنوان یک کاربر معمولی استفاده کنید:

username = user@user.user
password = regular_user

پس از ورود به سیستم، روی منوی «اسکن‌ها» کلیک کنید و «جدید» را انتخاب کنید، رابط فوق را دریافت می‌کنید، URL هدف را وارد کرده و برو را فشار دهید. پس از اتمام اسکن، می توانید گزارش را به فرمت های مختلف مانند HTML، XML، JSON، YAML، AFR و غیره را خروجی بگیرید.

#Arachni
@TryHackBox

بوت شدن با یک سیستم‌عامل دیگر و کپی فایل SAM

اگر به یک سیستم دسترسی فیزیکی داشته باشید جهت استخراج هش می‌توانید با استفاده از یک دیسک بوت لینوکس فایل SAM را بخوانید و یا تغییراتی در آن ایجاد نمایید. برای این منظور می‌توان از یک boot CD که از طریق لینک زیر قابل دسترسی می‌باشد، استفاده نمود:

https://pogostick.net/~pnh/ntpasswd

نکته: در دستگاه‌هایی که بر روی آن‌ها ویندوز xp و یا 2003 نصب می‌باشد، باید دقت داشته باشید که اگر در این سیستم‌عامل‌ها از ساختار رمز نگاری فایل سیستم یا EFS استفاده شده باشد، اجرای این برنامه موجب از بین رفتن کلیدهای رمزنگاری EFS خواهد شد ولی در ویندوز‌های 2000 با توجه به اینکه کلیدهای EFS به صورت جداگانه ذخیره می‌شوند، اجرای این برنامه موجب از دست رفتن کلید‌ها نخواهد شد.
به دست آوردن یک کپی از مسیر c:\windows\repair یا مسیر Backup یک سیستم.

ابزار ntbackup به صورت پیش یک کپی از اطلاعاتی را داخل این مسیر قرار می‌دهد که یکی از آن اطلاعات مربوط به SAM می‌باشد. لذا همواره این مسیر را هم در صورت وجود کنترل نمایید. (این مسیر در ویندوز xp و 2003 موجود می‌باشد)

همان طور که پیش‌تر مورد بررسی قرار گرفت، ابزار Cain and Abel نفوذگران را قادر می‌سازد اطلاعات challenge/response را از شبکه برای انجام فرآیند کرک استخراج نمایند. اما نفوذگران چگونه می‌توانند کاربران را وادار به ارسال این اطلاعات در سراسر شبکه کنند؟

نفوذگران می‌توانند دستگاه خود را در شبکه‌ای که هدف در آن قرار دارد، جای دهند و یا عملیاتی انجام دهند تا ترافیک به سمت آن‌ها هدایت شود تا بتوانند challenge/response مربوطه را استخراج نمایند. این امر با استفاده از تکنیک‌های Sniff قابل پیاده سازی بوده ولی کمی‌ پیاده سازی آن برای نفوذگر، مشکل می‌باشد.

برای برطرف کردن این مشکل، مهاجمان می‌توانند از طریق ایمیل به کاربران هشدار داده و هش‌ها را استخراج نمایند.

شما می‌توانید ایمیلی ارسال نمایید که فرض شود، توسط رئیس شرکت ارسال شده است. این ایمیل می‌تواند با موضوع هشدار یا هر موضوع تحریک کننده‌ای باشد که موجب شود تا کاربر آن را باز نماید. در محتوای ایمیل، شما یک لینک قرار داده‌اید که کاربر باید بر روی آن کلیک نموده تا موضوعی را مشاهده نماید.

ولی در واقع این مسیر همان مسیر Share به سیستم نفوذگر است. با این ترفند شما کاربر را مجبور می‌کنید تا به مسیر Share که متعلق به شما می‌باشد، متصل شود و با این کار به اطلاعات challenge/response وی پی خواهید برد.

برای انجام این حمله شما می‌توانید از ابزار قدرتمند متاسپلویت نیز استفاده نمایید. در این حمله شما باید Auxiliary زیر را فراخوانی نمایید و منتظر باشید تا کاربر به شما متصل شود:

auxiliary/server/capture/smb
#SAM
@TryHackBox

در اینجا یک افزونه مرورگر مفید برای شما وجود دارد. (savefrom.net). این افزونه به شما کمک می کند تا فایل های رسانه ای را از سایت های مختلف با اضافه کردن دکمه دانلود به آنها ، را دانلود کنید

#افزونه
@TryHackBox

4.Wapiti
یکی از پیشروترین ابزارهای تست نفوذ آزمایشی برنامه های وب است و Wapiti یک پروژه منبع باز رایگان از SourceForge است.

اگر می‌خواهید برنامه‌های کاربردی وب را برای آسیب‌پذیری‌های امنیتی بررسی کنید، سپس به عنوان تست جعبه سیاه عمل می‌کند.

از این رو، این یک برنامه خط فرمان است و مهمتر از همه، چندین فرمان مورد استفاده Wapiti را می شناسد. استفاده از آن برای افراد با تجربه آسان است، اما آزمایش برای تازه واردان کمی دشوار است.

اما کاربران جدید نیازی به نگرانی ندارند، زیرا می توانید به راحتی تمام مسیرهای Wapiti را در اسناد رسمی پیدا کنید.

از این رو، برای بررسی آسیب‌پذیر بودن یا نبودن یک اسکریپت، Wapiti بارهای بارگذاری را تزریق می‌کند و ابزار تست امنیت منبع باز، از هر دو تکنیک حمله HTTP GET و POST پشتیبانی می‌کند.


فیچرها :

CRLF injection

Database injection

Shellshock or bash bug

XSS injection

XXE injection

File disclosure
#wapiti
@TryHackBox

سلام دوستان ظاهرا علاقه مندان به مهندسی اجتماعی خیلی کم هستند ، چون دیشب پستی رو گذاشتیم که حدود ۷۰ تا سین خورد ولی فقط تعداد کمی پیام دادند ، برای همین در همین کانال آموزش رو برای شما علاقه مندان به اشتراک میگذاریم تا بعدها دوستان استفاده کنند .

لطفا برای حمایت از ما و آموزش رایگان پست ها را برای دیگر دوستان ارسال کنید و کانال را معرفی ‌.

به زودی قسمت اول رو میزارم واستون .

@TryHackBox

قسمت اول میخواستم تا چند دقیقه دیگه کاملش کنم بزارم ولی خب خیلی خستم باشه واسه فردا .

کار عملی با wapiti

– اسکنر آسیب پذیری جعبه سیاه برای برنامه های کاربردی وب

خواندن

@TryHackBox

مهندسی اجتماعی چیست ؟

شروع با برخی از تعاریف همیشه مفید است. بنابراین، مهندسی اجتماعی دقیقاً چیست؟ به طور خلاصه، این دستکاری افراد برای دستیابی به داده ها و اطلاعات است که اغلب با هدف ثانویه دستیابی به سیستم ها یا دسترسی به داده ها صورت می گیرد. مهندسان اجتماعی از فریب و فریب برای درخواست اطلاعات مورد نیاز از اهداف استفاده می کنند و به آنها اجازه می دهد به اهداف خود در به خطر انداختن سیستم ها یا امکانات یک سازمان یا فرد به نحوی دست یابند.

ارزش آن را دارد که این تعریف را کمی بیشتر تشریح کنیم. برای آزمایش‌کنندگان قلم، هدف یافتن و نشان دادن آسیب‌پذیری‌هایی است که ممکن است در یک سازمان وجود داشته باشد، به هر شکلی که این آسیب‌پذیری‌ها ممکن است داشته باشند. در مورد مهندسی اجتماعی، ما به دنبال نشان دادن موارد زیر هستیم:

- فقدان آگاهی امنیتی مناسب، و شکاف های بالقوه در مدل/محتوای فعلی آموزش آگاهی امنیتی که به کارمندان و سایر ذینفعان مرتبط ارائه می شود.
- انواع اطلاعاتی که کاربران ممکن است مایل به افشای آن باشند و آنچه که آنها قادر به افشای آن هستند.
- چگونه سازش کاربر نهایی می تواند متعاقباً منجر به نقض یا سناریوهای امنیتی دیگر شود.
- کجا/چگونه کنترل ها و فرآیندهای امنیتی موجود شکست می خورند و برای بهبود آنها چه کاری می توان انجام داد.


مهندسی اجتماعی به طرق مختلف از دستکاری روانشناختی برای دستیابی به این اهداف استفاده می کند.

#SE
@TryHackBox

مهندسی اجتماعی چیست؟ برداشت دیگر

کوین میتنیک احتمالاً برای مدت طولانی (یا حداقل یکی از آنها) مشهورترین مهندس اجتماعی در جهان بود. او در طول سال‌ها به خاطر سوء استفاده‌های خود با مشکلات زیادی روبرو بوده است، در واقع دوران زندان را می‌گذراند، اما او اکنون مشاوری است که تست‌های نفوذ انجام می‌دهد و سازمان‌ها را برای مبارزه با حملات مهندسی اجتماعی آموزش می‌دهد. در او
میتنیک در کتاب هنر فریب، مهندسی اجتماعی را به شرح زیر توصیف می کند:

"مهندسی اجتماعی از نفوذ و متقاعد کردن برای فریب مردم استفاده می کند و آنها را متقاعد می کند که مهندس اجتماعی کسی است که نیست، یا با دستکاری. در نتیجه، مهندس اجتماعی می تواند از افراد برای به دست آوردن اطلاعات با یا بدون استفاده از فناوری استفاده کند. "

این توصیف از مهندسی اجتماعی به خوبی تکمیل کننده توصیفی است که ما در مورد آن صحبت کردیم، زیرا با انگیزه ها و روش هایی که یک مهندس اجتماعی ممکن است برای دستیابی به اهداف خود استفاده کند، مرتبط است.
#SE
@TryHackBox

مهندسی اجتماعی امروز



امروزه موارد زیادی از مهندسی اجتماعی استفاده می شود. بر اساس مطالعه ای که در سال 2013 توسط TNS Global و شرکت امنیت ایمیل هالون انجام شد، 30 درصد از آمریکایی ها به میل خود ایمیل های مخرب را حتی زمانی که می دانند مخرب هستند باز می کنند! اگرچه این دیوانه به نظر می رسد، اما روندها و الگوهای روانشناختی قطعی وجود دارد که به این امر کمک می کند، که به زودی به آنها می پردازیم.


از آن زمان تاکنون، مطالعات و نمونه‌های بسیار بیشتری این را نشان داده‌اند. برخی از آمارهای جالب دیگر شامل موارد زیر است (منبع: https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-andstatistics.html):
• • •
- 94 درصد بدافزارها از طریق ایمیل ارسال می شوند - حملات فیشینگ بیش از 80 درصد از حوادث امنیتی گزارش شده را تشکیل می دهند.
-17700 دلار در هر دقیقه به دلیل حملات فیشینگ از دست می رود


اگرچه مصرف کنندگان دائماً طعمه این موضوع می شوند، آنچه بسیاری از مطالعات نشان می دهند این است که همین افراد در محل کار نیز به همان اندازه آسیب پذیر هستند. این روند نگران‌کننده‌ای است که تیم‌های امنیتی برای رفع آن مبارزه می‌کنند و تست نفوذ  مهندسی اجتماعی می‌تواند به برجسته کردن مکان‌هایی که یک سازمان باید زمان بیشتری را برای آموزش آگاهی امنیتی اختصاص دهد کمک کند.

#SE
@TryHackBox

روندهای مهاجم: دهه گذشته

در رسانه های محبوب امروزی، بسیاری به این باور می رسند که تهدیدات پایدار پیشرفته (APT) رایج هستند، جایی که مهاجمان آنقدر پیشرفته و پیچیده هستند که در هر رخنه گزارش شده، آسیب پذیری های صفر روزه را آزاد می کنند و از روش های فوق العاده پیشرفته برای شکستن استفاده می کنند. و به اهداف خود برسند. این نمی تواند دور از واقعیت باشد.

بسیاری از بزرگ‌ترین نقض‌های نمایه حقایق امروزی، در واقع با مهندسی اجتماعی، ارسال ایمیل‌های فیشینگ هدفمند یا استفاده از تماس‌های تلفنی بهانه‌سازی برای متقاعد کردن هدف‌ها برای دانلود محتوا، بازدید از یک سایت یا انجام اقدامات دیگری شروع می‌شوند که به مهاجم یک علامت اولیه می‌دهد. جای پایی بر سیستم(های) خود دارند. پیشرفته ترین مهاجمان اغلب زمان زیادی را در کمپین های مهندسی اجتماعی سرمایه گذاری می کنند که برخی از آنها ممکن است شامل سوء استفاده های پیشرفته یا بدافزار باشد. امروزه، با افزایش روزافزون سازمان‌هایی که سیستم‌های خارجی خود را اصلاح می‌کنند، به احتمال زیاد ساده‌ترین راه ممکن است از طریق مهندسی اجتماعی باشد.

#SE
@TryHackBox

5 . Metasploit

یکی از پیشرفته‌ترین و محبوب‌ترین فریم ورک‌ها در فهرست ابزارهای پنتستینگ برنامه‌های وب است که می‌توان از آن برای آزمایش نفوذ استفاده کرد.

این بر اساس مفهوم "اکسپلویت" بود، که کدی است که می تواند از قوانین امنیتی فراتر رفته و وارد یک سیستم قابل اعتماد شود.

از این رو، اگر وارد شود، «بارگذاری پیلود» را اجرا می‌کند، کدی که عملیات را روی یک ماشین هدف اجرا می‌کند، بنابراین یک فریم ورک عالی برای تست نفوذ تشکیل می‌دهد.

علاوه بر این، می‌توان آن را روی برنامه‌های وب، شبکه‌ها، سرورها و غیره تمرین کرد. چون دارای خط فرمان و رابط کاربری گرافیکی قابل کلیک است که به‌طور بی‌نقص روی همه پلت‌فرم‌های اصلی مانند Linux، Apple Mac OS X و Microsoft Windows کار می‌کند. ممکن است چند آزمایش محدود رایگان در دسترس باشد، زیرا یک محصول تجاری است.

می‌توانید در دوره ما شرکت کنید تا مهارت‌های خود را در Metasploit افزایش دهید. این دوره به زودی آموزش داده می شود .
فیچرها :

Gather and reuse credentials

Automate every step of a penetration test

Next-level pen tester

Manual exploitation

Nexpose scan integration

Proxy pivot

Evidence collection

Anti-virus evasion


#Metasploit
@TryHackBox

6.Vega

یک اسکنر آسیب‌پذیری وب منبع باز رایگان و یک پلت فرم تست نفوذ است. با استفاده از این ابزار می‌توانید تست‌های امنیتی مختلف یک برنامه تحت وب را انجام دهید و در جاوا نوشته شده است که یک محیط مبتنی بر GUI را ارائه می‌دهد.

برای OS X، لینوکس، و ویندوز قابل دسترسی است و می‌توان از آن برای دریافت تزریق SQL، گنجاندن داده، تزریق پوسته، اسکریپت‌نویسی بین سایتی، تزریق سرصفحه، فهرست دایرکتوری و سایر آسیب‌پذیری‌های برنامه وب استفاده کرد.

این برنامه همچنین می تواند با استفاده از یک API قدرتمند نوشته شده در جاوا اسکریپت مورد استفاده قرار گیرد.

این به شما امکان می دهد چند تصمیم مانند تعداد کل فرزندان راه را تعیین کنید.

فیچرها :

Automated scanner

Intercepting proxy

Proxy scanner

GUI-based

Multi-platform
#Vega
@TryHackBox

اسکن وب سایت ها برای آسیب پذیری های احتمالی با استفاده از Vega# در Kali Linux
#vega
@TryHackBox

7. Grabber

یک اسکنر برنامه محافظت از وب است که در درجه اول برخی از آسیب‌پذیری‌ها را در وب‌سایت شما تشخیص می‌دهد.

ساده است، سریع نیست، اما قابل کنترل و انعطاف پذیر است. این نرم‌افزار وب برای اسکن سایت‌های کوچک مانند وبلاگ‌های شخصی، انجمن‌ها و غیره ایجاد شده است. مسلماً برنامه‌های بزرگی نیستند، زیرا زمان زیادی طول می‌کشد.

انگیزه اصلی آن داشتن یک اسکنر «minimum bar» برای برنامه ارزیابی ابزار مشابه در NIST است.

فیچرها:


File inclusion

Backup file check

Cross-site noscripting

Hybrid analyze

Javanoscript source code analyzer



#Grabber
@TryHackBox