项目作者:wrenchonline
项目地址:https://github.com/wrenchonline/glint
一、工具介绍
glint 是一款golang开发的web漏洞主动(被动)扫描器,是目前为止跟上主流技术的测试工具,如有一下功能:
1.xss ast语义检测 配合浏览器爬虫污点记录检测会测试特殊xss检测
2.sql 注入检测 (刚刚完成布尔类型检测,错误型检测,逐渐完善时间型和oob反链检测)
3.xray poc 脚本检测(这个偷懒主要参照 https://github.com/jweny/pocassist )
4.基于浏览器的爬虫主动扫描
5.被动扫描
6.csrf 检测
7.ssrf 检测 (正在重构)
8.jsonp ast语义检测
9.xxe 实体注入检测 支持回显和反链平台 (正在重构)
10.crlf 检测
11.cors 跨域共享检测
12.应用服务错误检测(主动)
13.ssl版本检测(主动)
14.cmd webshell后门注入检测 (正在重构)
15.路径穿越检测
二、安装与使用
1、因为启动模式设计得很多,比较混乱,我个人推荐研究人员使用被动扫描,记住装上chrome
glint.exe --passiveproxy --cert server.pem --key server.key
2、然后访问 http://martian.proxy/authority.cer 下载证书浏览器导入就行,浏览器设置代理 (你的局域网ip 如192.168.166.8):8080 ,记住是局域网不是127,当然你在agent.go configure 函数中修改。
三、下载地址:
通过项目地址下载:https://github.com/wrenchonline/glint
四、声明:
仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者不承担任何法律及连带责任。
topsec
十年树木,百年树人。未来,天融信将始终积极探索,不断延展网络安全人才培养的宽度和深度,为网络安全人才培养与产业发展贡献企业力量。
- 关键词标签:
- 天融信 网络安全 测试工具 web漏洞 渗透