tk86935367
tk86935367

golismero

What is GoLISMERO?

GoLISMERO is a web spider is able to detect vulnerabilities and format results a very useful when starting a web audit.

It's for?

GoLISMERO is intended to be a first step when starting a web security audit.

Every time we face a new URL, would not it be great to have easily and quick all the links, forms with parameters, to detect possible URL vulnerable and in addition to being presented so that gives us an idea of ​​all points of entry where we could launch attacks? GoLISMERO lets us do all this.

Learning with examples

Remember: For execute GoLismero you need python 2.7.X or abobe.

Below are several examples and case studies, which are the best way to learn to use a security tool.

  1. Getting all links and forms from a web, with all its parameters, extended format:

GoLISMERO.py –t google.com

  1. Getting all links, on compact mode, and colorize output:

GoLISMERO.py –c –m –t google.com

  1. Getting only links. Removing css, javascript, images and mails:

GoLISMERO.py --no-css--no-script --no-images --no-mail –c –A links –m –t google.com

Or, reduced format:

GoLISMERO.py –na –c –A links –m –t google.com

  1. Getting only links with params and follow redirects (HTTP 302) and export results in HTML:

GoLISMERO.py –c –A links --follow –F html –o results.html –m –t google.com

And HTML generated code:

  1. Getting all links, looking for potentially vulnerable URL and using an intermediate proxy to analyze responses. The URLs or vulnerable parameters are highlighted in red.

GoLISMERO.py –c –A links --follow -na –x –m –t terra.com

golismero_第1张图片

Check as ZAP Proxy capture request:

你可能感兴趣的:(golismero)

  • 网络攻防第四周作业 weixin_33755554 爬虫操作系统php
    一、kali视频学习1、Kali漏洞分析之扫描工具除了综合漏洞扫描器OpenVAS,Kali下还有其他一些漏洞分析扫描工具,包括WEB漏洞扫描器Golismero与Nikto,以及系统信息扫描收集工具Lynis与unix-privesc-check。(1)WEB扫描工具Golismero这是一款开源的Web扫描器,自带一些安全测试工具,还可导入一些扫描工具的结果,如OpenVAS,Wfuzz,SQ
  • sqlmap的使用 ---- 自带绕过脚本tamper wkend 工具教程渗透测试PHP代码审计
    sqlmap在默认的的情况下除了使用char()函数防止出现单引号,没有对注入的数据进行修改,还可以使用–tamper参数对数据做修改来绕过waf等设备。0x01命令如下sqlmap-u[url]--tamper[模块名]sqlmap的绕过脚本在目录usr/share/golismero/tools/sqlmap/tamper下目前sqlmap1.2.9版本共有37个可以使用--identify-
  • 网站sql注入自动检测工具测试版(仅限get请求) D0be
    1.开启sqlmapapiroot@kali:/usr/share/golismero/tools/sqlmap#pythonsqlmapapi.py-s2.运行程序记得改url#!/usr/bin/python#-*-coding:utf-8-*-#author:ErieimportreimportsysimportrequestsimportQueueimportthreadingfrombs
  • Sqlmap使用笔记与技巧总结 303Donatello
    查找find/-namesqlmapsqlmap地址/usr/share/golismero/tools/sqlmapaqlmap扫描文档存在地址[INFO]fetcheddataloggedtotextfilesunder'/usr/share/golismero/tools/sqlmap/output/www.cowinbio.com'sqlmap大部分注入步骤相同(WEB深度剖析)1.判断是
  • Golismero使用技巧汇总 hujkay web扫描使用技巧golismero
    地址: http://blog.csdn.net/hujkay作者:JekkayHu([email protected])关键词:golismero,web扫描器,使用技巧时间:2013/11/211.仅启用一个插件扫描指定的URL   只选用单个插件扫描指定的RUL,可以采用下列的命令:pythongolismero.py-oresult.txt-dall-e$pluginame$URL  比如,想
  • DomXss检测模块整合开源扫描器框架golismero ovens 开源扫描器框架golismeroDomXss
    有时候我们写一个检测模块,想在真实的网络环境中去检测它的能力和稳定性,想大批量的对网络中的网站进行探测,往往我们的解决方案是:1,依靠API调各种搜索引擎的搜索结果2,自己针对检测模块写爬虫3,网上先采集一批潜在站点域名,写个临时的批量脚本。No.1的问题是搜索引擎有数量和频次上的限制,而且只能依赖搜索引擎的爬取结果,机动性差。No.2的问题是难道以后每次写一个检测模块都要写个爬虫配合么,那样太痛
  • golismero tk86935367
    WhatisGoLISMERO?GoLISMEROisawebspiderisabletodetectvulnerabilitiesandformatresultsaveryusefulwhenstartingawebaudit.It'sfor?GoLISMEROisintendedtobeafirststepwhenstartingawebsecurityaudit.Everytimewefac
  • 【4】Golismero报表编写-ReportPlugin插件编写 hujkay web扫描器golismero插件编写reportplugin
    瞬息万变,匆匆至碌地址: http://blog.csdn.net/hujkay作者:JekkayHu([email protected])关键词:golismero,web扫描器,插件编写时间:2013/10/294.报表插件报表插件(ReportPlugin)是用于在扫描完成后,将扫描结果输出为特定格式的的插件,它的接口类是:接口classgolismero.api.plugin.ReportPl
  • golismero之CheetSheet wcc526 kaligolismero
    [golismero]之CheetSheet,常用命令,CheetSheet.1.golismero.pyscanhttp://www.example.com 2.golismero.pyscan-inmap_output.xml-oreport.html 3.golismero.pyimport-iopenvas_output.xml 4.golismero.pyprofiles 5.golis
  • 【3】Golismero插件编写-ImportPlugin插件编写 hujkay web扫描漏洞查找golismero
    进击的巨人,不错的新番灾难片,得追一阵子了地址: http://blog.csdn.net/hujkay作者:JekkayHu([email protected])关键词:golismero,web扫描器,插件编写时间:2013/09/223.导入插件(ImportPlugin)  Golismero的导入插件(ImportPlugin)可以将其他安全工具的扫描结果导入,然后再启动扫描,其接口类如下:
  • 【2】Golismero插件编写-TestingPlugin插件编写 hujkay
    火影追了近10年了,有生之年能看完么?!地址: http://blog.csdn.net/hujkay作者:JekkayHu([email protected])关键词:golismero,web扫描器,插件编写时间:2013/09/182.1      TestingPlugi2.2.1测试插件编写TestingPlugin(测试插件)是进行安全检测的插件,而安全测试分为五个阶段:recon(侦查)
  • 【1】Golismero插件编写-UI插件编写 hujkay pythonweb扫描器golismero插件编写
    胡杨林,一直很想去看,一直聊以照片为慰地址:http://blog.csdn.net/hujkay作者:JekkayHu([email protected])关键词:golismero,web扫描器,插件编写时间:2013/09/181.    概述   Golismero是一款开源的Web扫描器,它不但自带不少的安全测试工具,而且还可导入分析市面流行的扫描工具的结果,比如Openvas,Wfuzz,
  • xml解析 小猪猪08 xml
    1、DOM解析的步奏 准备工作:    1.创建DocumentBuilderFactory的对象    2.创建DocumentBuilder对象    3.通过DocumentBuilder对象的parse(String fileName)方法解析xml文件    4.通过Document的getElem
  • 每个开发人员都需要了解的一个SQL技巧 brotherlamp linuxlinux视频linux教程linux自学linux资料
      对于数据过滤而言CHECK约束已经算是相当不错了。然而它仍存在一些缺陷,比如说它们是应用到表上面的,但有的时候你可能希望指定一条约束,而它只在特定条件下才生效。 使用SQL标准的WITH CHECK OPTION子句就能完成这点,至少Oracle和SQL Server都实现了这个功能。下面是实现方式: CREATE TABLE books (   id &
  • Quartz——CronTrigger触发器 eksliang quartzCronTrigger
    转载请出自出处:http://eksliang.iteye.com/blog/2208295 一.概述 CronTrigger 能够提供比 SimpleTrigger 更有具体实际意义的调度方案,调度规则基于 Cron 表达式,CronTrigger 支持日历相关的重复时间间隔(比如每月第一个周一执行),而不是简单的周期时间间隔。 二.Cron表达式介绍 1)Cron表达式规则表 Quartz
  • Informatica基础 18289753290 InformaticaMonitormanagerworkflowDesigner
    1. 1)PowerCenter Designer:设计开发环境,定义源及目标数据结构;设计转换规则,生成ETL映射。 2)Workflow  Manager:合理地实现复杂的ETL工作流,基于时间,事件的作业调度 3)Workflow  Monitor:监控Workflow和Session运行情况,生成日志和报告 4)Repository  Manager:
  • linux下为程序创建启动和关闭的的sh文件,scrapyd为例 酷的飞上天空 scrapy
    对于一些未提供service管理的程序  每次启动和关闭都要加上全部路径,想到可以做一个简单的启动和关闭控制的文件   下面以scrapy启动server为例,文件名为run.sh:   #端口号,根据此端口号确定PID PORT=6800 #启动命令所在目录 HOME='/home/jmscra/scrapy/' #查询出监听了PORT端口
  • 人--自私与无私 永夜-极光
                今天上毛概课,老师提出一个问题--人是自私的还是无私的,根源是什么?               从客观的角度来看,人有自私的行为,也有无私的
  • Ubuntu安装NS-3 环境脚本 随便小屋 ubuntu
      将附件下载下来之后解压,将解压后的文件ns3environment.sh复制到下载目录下(其实放在哪里都可以,就是为了和我下面的命令相统一)。输入命令:   sudo ./ns3environment.sh >>result   这样系统就自动安装ns3的环境,运行的结果在result文件中,如果提示     com
  • 创业的简单感受 aijuans 创业的简单感受
           2009年11月9日我进入a公司实习,2012年4月26日,我离开a公司,开始自己的创业之旅。      今天是2012年5月30日,我忽然很想谈谈自己创业一个月的感受。 当初离开边锋时,我就对自己说:“自己选择的路,就是跪着也要把他走完”,我也做好了心理准备,准备迎接一次次的困难。我这次走出来,不管成败
  • 如何经营自己的独立人脉 aoyouzi 如何经营自己的独立人脉
    独立人脉不是父母、亲戚的人脉,而是自己主动投入构造的人脉圈。“放长线,钓大鱼”,先行投入才能产生后续产出。   现在几乎做所有的事情都需要人脉。以银行柜员为例,需要拉储户,而其本质就是社会人脉,就是社交!很多人都说,人脉我不行,因为我爸不行、我妈不行、我姨不行、我舅不行……我谁谁谁都不行,怎么能建立人脉?我这里说的人脉,是你的独立人脉。   以一个普通的银行柜员
  • JSP基础 百合不是茶 jsp注释隐式对象
      1,JSP语句的声明 <%! 声明 %>    声明:这个就是提供java代码声明变量、方法等的场所。 表达式 <%= 表达式 %>    这个相当于赋值,可以在页面上显示表达式的结果, 程序代码段/小型指令 <% 程序代码片段 %>   2,JSP的注释   <!-- -->
  • web.xml之session-config、mime-mapping bijian1013 javaweb.xmlservletsession-configmime-mapping
    session-config 1.定义: <session-config> <session-timeout>20</session-timeout> </session-config> 2.作用:用于定义整个WEB站点session的有效期限,单位是分钟。   mime-mapping 1.定义: <mime-m
  • 互联网开放平台(1) Bill_chen 互联网qq新浪微博百度腾讯
    现在各互联网公司都推出了自己的开放平台供用户创造自己的应用,互联网的开放技术欣欣向荣,自己总结如下: 1.淘宝开放平台(TOP) 网址:http://open.taobao.com/ 依赖淘宝强大的电子商务数据,将淘宝内部业务数据作为API开放出去,同时将外部ISV的应用引入进来。 目前TOP的三条主线: TOP访问网站:open.taobao.com ISV后台:my.open.ta
  • 【MongoDB学习笔记九】MongoDB索引 bit1129 mongodb
    索引 可以在任意列上建立索引 索引的构造和使用与传统关系型数据库几乎一样,适用于Oracle的索引优化技巧也适用于Mongodb 使用索引可以加快查询,但同时会降低修改,插入等的性能 内嵌文档照样可以建立使用索引 测试数据     var p1 = { "name":"Jack", "age&q
  • JDBC常用API之外的总结 白糖_ jdbc
    做JAVA的人玩JDBC肯定已经很熟练了,像DriverManager、Connection、ResultSet、Statement这些基本类大家肯定很常用啦,我不赘述那些诸如注册JDBC驱动、创建连接、获取数据集的API了,在这我介绍一些写框架时常用的API,大家共同学习吧。     ResultSetMetaData获取ResultSet对象的元数据信息
  • apache VelocityEngine使用记录 bozch VelocityEngine
    VelocityEngine是一个模板引擎,能够基于模板生成指定的文件代码。   使用方法如下:     VelocityEngine engine = new VelocityEngine();// 定义模板引擎     Properties properties = new Properties();// 模板引擎属
  • 编程之美-快速找出故障机器 bylijinnan 编程之美
    package beautyOfCoding; import java.util.Arrays; public class TheLostID { /*编程之美 假设一个机器仅存储一个标号为ID的记录,假设机器总量在10亿以下且ID是小于10亿的整数,假设每份数据保存两个备份,这样就有两个机器存储了同样的数据。 1.假设在某个时间得到一个数据文件ID的列表,是
  • 关于Java中redirect与forward的区别 chenbowen00 javaservlet
    在Servlet中两种实现: forward方式:request.getRequestDispatcher(“/somePage.jsp”).forward(request, response); redirect方式:response.sendRedirect(“/somePage.jsp”); forward是服务器内部重定向,程序收到请求后重新定向到另一个程序,客户机并不知
  • [信号与系统]人体最关键的两个信号节点 comsci 系统
            如果把人体看做是一个带生物磁场的导体,那么这个导体有两个很重要的节点,第一个在头部,中医的名称叫做 百汇穴, 另外一个节点在腰部,中医的名称叫做 命门         如果要保护自己的脑部磁场不受到外界有害信号的攻击,最简单的
  • oracle 存储过程执行权限 daizj oracle存储过程权限执行者调用者
    在数据库系统中存储过程是必不可少的利器,存储过程是预先编译好的为实现一个复杂功能的一段Sql语句集合。它的优点我就不多说了,说一下我碰到的问题吧。我在项目开发的过程中需要用存储过程来实现一个功能,其中涉及到判断一张表是否已经建立,没有建立就由存储过程来建立这张表。 CREATE OR REPLACE PROCEDURE TestProc  IS    fla
  • 为mysql数据库建立索引 dengkane mysql性能索引
    前些时候,一位颇高级的程序员居然问我什么叫做索引,令我感到十分的惊奇,我想这绝不会是沧海一粟,因为有成千上万的开发者(可能大部分是使用MySQL的)都没有受过有关数据库的正规培训,尽管他们都为客户做过一些开发,但却对如何为数据库建立适当的索引所知较少,因此我起了写一篇相关文章的念头。  最普通的情况,是为出现在where子句的字段建一个索引。为方便讲述,我们先建立一个如下的表。
  • 学习C语言常见误区 如何看懂一个程序 如何掌握一个程序以及几个小题目示例 dcj3sjt126com c算法
    如果看懂一个程序,分三步   1、流程   2、每个语句的功能   3、试数   如何学习一些小算法的程序 尝试自己去编程解决它,大部分人都自己无法解决 如果解决不了就看答案 关键是把答案看懂,这个是要花很大的精力,也是我们学习的重点 看懂之后尝试自己去修改程序,并且知道修改之后程序的不同输出结果的含义 照着答案去敲 调试错误
  • centos6.3安装php5.4报错 dcj3sjt126com centos6
    报错内容如下: Resolving Dependencies --> Running transaction check ---> Package php54w.x86_64 0:5.4.38-1.w6 will be installed --> Processing Dependency: php54w-common(x86-64) = 5.4.38-1.w6 for
  • JSONP请求 flyer0126 jsonp
          使用jsonp不能发起POST请求。 It is not possible to make a JSONP POST request. JSONP works by creating a <script> tag that executes Javascript from a different domain; it is not pos
  • Spring Security(03)——核心类简介 234390216 Authentication
    核心类简介 目录 1.1     Authentication 1.2     SecurityContextHolder 1.3     AuthenticationManager和AuthenticationProvider 1.3.1  &nb
  • 在CentOS上部署JAVA服务 java--hhf javajdkcentosJava服务
        本文将介绍如何在CentOS上运行Java Web服务,其中将包括如何搭建JAVA运行环境、如何开启端口号、如何使得服务在命令执行窗口关闭后依旧运行     第一步:卸载旧Linux自带的JDK ①查看本机JDK版本 java -version    结果如下 java version "1.6.0"
  • oracle、sqlserver、mysql常用函数对比[to_char、to_number、to_date] ldzyz007 oraclemysqlSQL Server
    oracle                                &n
  • 记Protocol Oriented Programming in Swift of WWDC 2015 ningandjin protocolWWDC 2015Swift2.0
    其实最先朋友让我就这个题目写篇文章的时候,我是拒绝的,因为觉得苹果就是在炒冷饭, 把已经流行了数十年的OOP中的“面向接口编程”还拿来讲,看完整个Session之后呢,虽然还是觉得在炒冷饭,但是毕竟还是加了蛋的,有些东西还是值得说说的。 通常谈到面向接口编程,其主要作用是把系统设计和具体实现分离开,让系统的每个部分都可以在不影响别的部分的情况下,改变自身的具体实现。接口的设计就反映了系统
  • 搭建 CentOS 6 服务器(15) - Keepalived、HAProxy、LVS rensanning keepalived
    (一)Keepalived (1)安装 # cd /usr/local/src # wget http://www.keepalived.org/software/keepalived-1.2.15.tar.gz # tar zxvf keepalived-1.2.15.tar.gz # cd keepalived-1.2.15 # ./configure # make &a
  • ORACLE数据库SCN和时间的互相转换 tomcat_oracle oraclesql
    SCN(System Change Number 简称 SCN)是当Oracle数据库更新后,由DBMS自动维护去累积递增的一个数字,可以理解成ORACLE数据库的时间戳,从ORACLE 10G开始,提供了函数可以实现SCN和时间进行相互转换;    用途:在进行数据库的还原和利用数据库的闪回功能时,进行SCN和时间的转换就变的非常必要了;    操作方法:   1、通过dbms_f
  • Spring MVC 方法注解拦截器 xp9802 spring mvc
    应用场景,在方法级别对本次调用进行鉴权,如api接口中有个用户唯一标示accessToken,对于有accessToken的每次请求可以在方法加一个拦截器,获得本次请求的用户,存放到request或者session域。 python中,之前在python flask中可以使用装饰器来对方法进行预处理,进行权限处理 先看一个实例,使用@access_required拦截: ?
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他