百度360必应搜狗淘宝本站头条
外键约束 oraclephp简单源码宏程序代码一览表唯一索引 oraclelinux有没有pe工具
当前位置:网站首页 > 技术资源 > 正文

轻量级被动扫描器,助力资产风险发现

moboyou 2025-08-18 08:28 2 浏览

工具介绍

z0scan 是一款专注于被动扫描的安全工具,可自动检测 JS 文件中的敏感接口和云存储(如 OSS/S3)配置错误漏洞,支持多平台规则定制,适合红队与企业安全自查。

工具优点

  1. WAF判断、指纹信息与插件扫描的联动
  2. 支持解析Json、XML等复杂格式中的参数及伪静态参数
  3. 以SQLite3提供扫描记录等数据储存支持
  4. 基于Python3开源并提供全平台支持
  5. 交互式动态调整被动扫描参数
  6. JS敏感信息-AI智能后校验
  7. 支持IPV6解析域名

使用示例

被动扫描

1. 默认配置下 被动扫描 (浏览器转发流量到5920端口) 

z0 scan -s 127.0.0.1:5920

常用推荐 

z0 scan -s 127.0.0.1:5920 --risk 0,1,2,3 --level 2 --disable cmdi,unauth

主动扫描

1. 默认配置下主动扫描 

# 由Burp/Yakit发起请求流量的主动检测(推荐)z0 scan -s 127.0.0.1:5920
# 直接检测z0 scan -u https://example.com/?id=1# 遍历URL列表检测z0 scan -f urls.txt

插件列表

插件名称
插件简述
Risk
sqli-bool
SQL布尔盲注检测
2
sqli-time
SQL时间盲注检测
2
sqli-error
SQL报错注入检测
2
codei-asp
Asp代码执行
3
codei-php
Php代码执行
3
cmdi
命令执行
3
other-objectdese
反序列参数分析
3
sensi-js
Js敏感信息泄露
0
sensi-jsonp
Jsonp敏感信息泄露
1
sensi-php-realpath
Php真实目录发现
0
redirect
重定向
1
sensi-webpack
webpack源码泄露
1
other-webdav-passive
webdav服务被动发现
1
xpathi-error
基于报错的XPATH注入检测
2
trave-path
路径穿越
2
sensi-backup_1
基于文件的备份文件检测
1
sensi-viewstate
未加密的VIEWSTATE发现
0
xss
基于JS语义的XSS扫描
1
crlf_1
CRLF漏洞检测
2
cors-passive
CORS漏洞检测(被动分析)
2
unauth
未授权访问漏洞
2
leakpwd-page-passive
后台登陆页弱口令
2
sensi-editfile
编辑器备份文件泄露
1
sensi-sourcecode
源码泄露
1
captcha-bypass
验证码绕过
0
sensi-retirejs
过时的JS组件检测
-1
ssti
SSTI漏洞检测
3

相关推荐

分享一个企业网站前后台功能源代码

企业网站前后台功能图文介绍一、前台页面介绍1.首页亮点:大气Banner轮播、产品服务、公司优势、成功案例、新闻动态等一屏展示。截图:首页全景展示,突出企业形象与主要业务。2.关于我们亮点:公司简...

SEO建站站群怎样快速的获得源代码

第一种,直接下载保存。可能有的站长并不知道怎样操作,其实最重要的就是将这个站点直接另存为,然后选择一个需要的目录。这是一种快速获得别人网站源代码的过程,但是这个不一定完全能使用,有可能其他站长对自己源...

分享8个精美网页模版/设计平台, 小团队也能做出专业级产品

在现代社会,网页已经成为企业、个人展示和宣传的重要窗口,因此掌握网页制作技能是非常有必要的。今天,我们将为大家介绍8款优秀的网页设计模板网站,哪怕是小白也能帮助你快速搭建出令人惊艳的网页。一、即时设计...

一键批量生成视频、批量混剪的AI视频开源工具,可一键发布多平台

如果你是一位自媒体创作者,想要快速批量生成短视频并自动发布到各大视频平台,那么这款名为MoneyPrinterPlus的开源工具,绝对是你不容错过的宝藏。这个工具不仅能够帮助你一键批量生成短视频,...

小白教你做网站 开放源代码(网站开发源代码)

昨天教大家搭建环境不知道大家弄好了没有问题的话就回复我一开始让你们关注微信公众号是以为回复太多忙不过来现在看来也没几个回复的我还能应付不过头条回复机制貌似有问题有的回复停一会就消失了不...

把DeepSeek生成的动效网页放进PPT,大佬推荐这个神器,免费用!

昨天,AI界自媒体和头部大佬@数字生命卡兹克,在给大家分享“在PPT中插入AI生成的动态可视化效果”时,给大家推荐了不坑盒子。(其实这个我也发过视频,也直播讲过……)本来准备缓缓更新这一版的不坑盒子的...

HTML5响应式餐饮加盟管理类企业网站源码,自适应手机版

织梦dedecms响应式餐饮美食加盟企业网站模板(自适应手机移动端)该网站适合餐饮类,火锅料,饭店类通用,一站式解决方案可以开发定制,企业网站定制开发,微信小程序、商城开发等解决方案直接在宝塔环境安装...

教你免费搭建个人网站(GitHub)(免费建立个人网页)

GitHubDesktop是GitHub公司发布的一款桌面版应用。无论您是Git的新手还是经验丰富的用户,GitHubDesktop都可以简化您的开发工作流程。不需要使用Git命令,即可把您本地...

常用JSP文件上传,下载的一些方法(jsp如何实现文件上传下载)

常用JSP文件上传,下载的一些方法,Java实现文件分片上传、大文件秒传,大文件如何做断点续传?JAVAWEB文件上传及下载,JAVA大文件上传,大文件下载解决方案,JAVA实现文件分片上传并且断点...

Django媒体资源(附一套简易Django文件上传源码)

媒体资源——MEDIA一般情况下,STATIC_URL是设置静态文件的路由地址,如CSS文件,JavaScript文件以及常用的图片等信息。对于一些经常变动的资源,通常将其存放在媒体资源文件夹,如用户...

m3u8转换mp4格式:批量转换视频,7招让你一键转换

很多人下载网络视频时,得到的不是常见的MP4文件,而是.m3u8播放列表文件。这种文件本质上是HLS(HTTPLiveStreaming)视频切片索引,需要先把里面的.ts片段下载,再...

4、学快速建站笔记-网站源码下载并上传空间

1、说明:网站源码百度上有很多,淘宝上也有很多,源码本身是完全免费使用不要钱的。2、随便选一个喜欢的下载。(举例)说明:记得是下载源码,不是模板。3、解压说明:解压后就是上面这样子,然后把文件名de@...

.NET大文件上传详解及实例代码(netcore文件上传api)

前端用了HTML,VUE2,VUE3,后端用了ASP.NET,.NETCore.NETMVC,IDE用了VisualStudio2010,VisualStudio2013,VisualS...

github上有人收集武汉公益信息,还做了个网站,源代码都出来了

最新新型冠状病毒的爆发,让全国各地深入水深火热的抗病毒战争当中,尤其是武汉,时不时爆出缺物资,缺食物,缺医疗人员的信息。甚至有不少医护人员感染,还有医生因此去世。全国各地网友纷纷献出爱心,寄物资,捐款...

短视频源码,短视频平台搭建需要用到的基本功能

短视频平台搭建需要用到的一些基本功能1、推荐机制,在小视频源码开发短视频推荐功能的时候,需要设计为不重复推荐给用户已经看过的视频,如果需要实现该功能,一定是需要把观看记录保存起来,可以用数据库,Red...

一周热门
最近发表
标签列表
蜀ICP备2024111239号-28