Scanners-Box란?
Scanners-Box는 보안 전문가, 침투 테스트 전문가 및 윤리적 해커를 위한 200개 이상의 오픈소스 사이버보안 도구를 엄선하여 모은 컬렉션입니다. 원래 중국 보안 커뮤니티(t00ls)를 위해 만들어졌으며, 정찰부터 공격까지 사이버보안의 모든 측면을 다룹니다.
GitHub: https://github.com/luckybbjason1/Scanners-Box
라이선스: 오픈소스 모음
도구 수: 200+
카테고리: 15+
도구 카테고리 개요
| 카테고리 | 도구 수 | 예시 |
|---|---|---|
| 하위 도메인 열거 | 15+ | subDomainsBrute, amass, subfinder, OneForAll |
| 데이터베이스 & SQL 인젝션 | 10+ | sqlmap, jsql-injection, SQLiScanner, NoSQLAttack |
| 퍼징 도구 | 20+ | AFL, honggfuzz, syzkaller, libFuzzer |
| 포트 스캐닝 & 핑거프린팅 | 25+ | Nmap, masscan, whatweb, wafw00f |
| 약한 비밀번호 & 정보 유출 | 15+ | htpwdScan, BBScan, GitHack, truffleHog |
| IoT 장치 스캐닝 | 5+ | IoTSeeker, RouterSploit, routersploit |
| XSS 공격 | 10+ | BruteXSS, XSS-Radar, XSSTracer, easyXssPayload |
| 사회 공학 | 15+ | SET, gophish, evilginx2, blackeye |
| 웹셸 탐지 | 10+ | findWebshell, HaboMalHunter, PHP-Shell-Detector |
| 기업 네트워크 감사 | 5+ | theHarvester, xunfeng, LNScan |
| 취약점 스캐너 | 15+ | vulfocus, vulhub, VulApps, upload-labs |
| 무선 보안 | 5+ | fern-wifi-cracker, aircrack-ng |
| 자산 발견 | 5+ | linglong, H, nemo_go, NextScan |
| 위협 인텔리전스 | 3+ | threat-intelligence, VirusTotal, ThreatBook |
| 학습 리소스 | 20+ | sec-wiki, FreeBuf, Web Hacking 101 |
주요 도구 심층 분석
1. 하위 도메인 열거
OneForAll — 가장 포괄적인 하위 도메인 수집 도구
- 20개 이상의 데이터 소스 통합
- 더 나은 결과를 위한 API 키 지원
- 다양한 형식으로보내기
amass — Go 기반 하위 도메인 열거
- 빠르고 효율적
- DNS, 스크래핑, 인증서 투명성
- 그래프 시각화 출력
2. SQL 인젝션
sqlmap — SQL 인젝션 도구의 왕
- 자동 감지 및 공격
- 6가지 데이터베이스 유형 지원
- WAF 우회용 변조 스크립트
# 기본 사용법
sqlmap -u "http://target.com/page.php?id=1" --dbs
# 특정 테이블 덤프
sqlmap -u "http://target.com/page.php?id=1" -D database -T users --dump
3. 퍼징 프레임워크
AFL (American Fuzzy Lop) — 커버리지 기반 퍼징
- 자동으로 취약점 발견
- 테스트 케이스 생성
- 실제 소프트웨어에서 1000개 이상의 버그 발견
syzkaller — Linux 커널 퍼저
- 3000개 이상의 Linux 커널 버그 발견
- Google, Microsoft 사용
- 다양한 운영 체제 지원
4. 포트 스캐닝
Nmap — 네트워크 스캐너의 왕
# 기본 스캔
nmap -sV -sC target.com
# 스크립트가 포함된 전체 포트 스캔
nmap -p- -sV --script=vuln target.com
# 공격적 스캔
nmap -A target.com
masscan — 가장 빠른 인터넷 포트 스캐너
- 6분 만에 전체 인터넷 스캔
- Nmap과 호환
- 비동기 전송
5. 사회 공학 도구킷
SET (Social-Engineer Toolkit) — 완전한 피싱 프레임워크
- 웹사이트 복제
- 이메일 스피어 피싱
- 자격 증명 수집
- 다중 공격 벡터
evilginx2 — 2FA 우회 피싱 프레임워크
- 중간자 공격
- 세션 쿠키 캡처
- 이중 인증 우회
보안 학습 리소스
입문자용
- sec-wiki — 보안 위키백과
- FreeBuf — 해커와 기술자 뉴스
- Web Hacking 101 — 웹 보안 기초
- Kali Linux Web 침투 테스트 요리책
중급자용
- Burpsuite 실전 가이드 — 웹 침투 테스트
- API-Security-Checklist — API 보안 모범 사례
- Web-Security-Learning — 종합 웹 보안
- 응급 대응 실전 노트 — 응급 대응
고급 주제
- Linux 익스플로잇 개발 튜토리얼
- Android 침투 테스트
- Node.js 웹 보안 문제
- Python 보안 시리즈
취약점 타겟 연습
| 플랫폼 | 설명 | 링크 |
|---|---|---|
| vulfocus | Docker 기반 취약점 플랫폼 | GitHub |
| vulhub | 사전 구축된 취약한 환경 | GitHub |
| VulApps | 취약한 애플리케이션 모음 | GitHub |
| upload-labs | 파일 업로드 취약점 연습 | GitHub |
| bWAPP | 버그가 있는 웹 애플리케이션 | SourceForge |
| DVWA | 매우 취약한 웹 애플리케이션 | GitHub |
| WebGoat | OWASP 웹 보안 연습 | GitHub |
책임 있는 공개
⚠️ 경고: 여기에 나열된 모든 도구는 승인된 보안 테스트용으로만 사용됩니다. 이러한 도구를 명시적 허가 없이 시스템에 사용하는 것은 불법이며 비윤리적입니다.
법적 프레임워크
- CFAA (컴퓨터 사기 및 남용법) — 미국
- 컴퓨터 남용법 — 영국
- 사이버보안법 — 중국
- GDPR — EU 데이터 보호
모범 사례
- 항상 서면 승인을 받으세요
- 범위를 명확히 정의하세요
- 업무 시간을 존중하세요
- 발견 사항을 즉시 보고하세요
- 테스트 후 데이터를 삭제하세요
도구 선택 가이드
웹 애플리케이션 테스트
정찰: amass, subfinder, theHarvester
스캐닝: Nmap, masscan, whatweb
취약점: sqlmap, XSS 스캐너, dirsearch
공격: Burp Suite, 사용자 지정 스크립트
보고: Dradis, Faraday
네트워크 침투 테스트
발견: Nmap, masscan, nbtscan
열거: enum4linux, snmp-check
취약점: OpenVAS, Nessus
공격: Metasploit, Cobalt Strike
후 공격: PowerShell Empire, Mimikatz
레드팀 작전
초기 접근: SET, gophish, evilginx2
지속성: 사용자 지정 임플란트, 예약된 작업
권한 상승: PowerUp, BeRoot
측면 이동: Pass-the-hash, Kerberoasting
데이터 유출: DNS 터널링, HTTPS C2
관련 기사
- Agent Reach: AI 에이전트 인터넷 접근 — AI 기반 보안 자동화
- Code Vault: 7가지 암호화폐 거래 도구 — 금융 보안 도구
- Free Claude Code: 오픈소스 AI 코딩 — 안전한 코딩 관행
면책 조항: 본 문서는 교육 목적으로만 제공됩니다. 모든 도구는 책임감 있게 사용해야 하며, 소유하고 있거나 명시적 테스트 허가를 받은 시스템에만 사용해야 합니다. 작성자와 dibi8.com은 제공된 정보의 오용에 대해 책임을 지지 않습니다.
有问题或想法?欢迎在下方留下你的评论。使用 GitHub 账号登录即可参与讨论。