Scanners-Box란?
Scanners-Box는 보안 전문가, 침투 테스트 전문가 및 윤리적 해커를 위한 200개 이상의 오픈소스 사이버보안 도구를 엄선하여 모은 컬렉션입니다. 원래 중국 보안 커뮤니티(t00ls)를 위해 만들어졌으며, 정찰부터 공격까지 사이버보안의 모든 측면을 다룹니다.
GitHub: https://github.com/luckybbjason1/Scanners-Box
라이선스: 오픈소스 모음
도구 수: 200+
카테고리: 15+
도구 카테고리 개요
| 카테고리 | 도구 수 | 예시 |
|---|---|---|
| 하위 도메인 열거 | 15+ | subDomainsBrute, amass, subfinder, OneForAll |
| 데이터베이스 & SQL 인젝션 | 10+ | sqlmap, jsql-injection, SQLiScanner, NoSQLAttack |
| 퍼징 도구 | 20+ | AFL, honggfuzz, syzkaller, libFuzzer |
| 포트 스캐닝 & 핑거프린팅 | 25+ | Nmap, masscan, whatweb, wafw00f |
| 약한 비밀번호 & 정보 유출 | 15+ | htpwdScan, BBScan, GitHack, truffleHog |
| IoT 장치 스캐닝 | 5+ | IoTSeeker, RouterSploit, routersploit |
| XSS 공격 | 10+ | BruteXSS, XSS-Radar, XSSTracer, easyXssPayload |
| 사회 공학 | 15+ | SET, gophish, evilginx2, blackeye |
| 웹셸 탐지 | 10+ | findWebshell, HaboMalHunter, PHP-Shell-Detector |
| 기업 네트워크 감사 | 5+ | theHarvester, xunfeng, LNScan |
| 취약점 스캐너 | 15+ | vulfocus, vulhub, VulApps, upload-labs |
| 무선 보안 | 5+ | fern-wifi-cracker, aircrack-ng |
| 자산 발견 | 5+ | linglong, H, nemo_go, NextScan |
| 위협 인텔리전스 | 3+ | threat-intelligence, VirusTotal, ThreatBook |
| 학습 리소스 | 20+ | sec-wiki, FreeBuf, Web Hacking 101 |
주요 도구 심층 분석
1. 하위 도메인 열거
OneForAll — 가장 포괄적인 하위 도메인 수집 도구
- 20개 이상의 데이터 소스 통합
- 더 나은 결과를 위한 API 키 지원
- 다양한 형식으로보내기
amass — Go 기반 하위 도메인 열거
- 빠르고 효율적
- DNS, 스크래핑, 인증서 투명성
- 그래프 시각화 출력
2. SQL 인젝션
sqlmap — SQL 인젝션 도구의 왕
- 자동 감지 및 공격
- 6가지 데이터베이스 유형 지원
- WAF 우회용 변조 스크립트
# 기본 사용법
sqlmap -u "http://target.com/page.php?id=1" --dbs
# 특정 테이블 덤프
sqlmap -u "http://target.com/page.php?id=1" -D database -T users --dump
3. 퍼징 프레임워크
AFL (American Fuzzy Lop) — 커버리지 기반 퍼징
- 자동으로 취약점 발견
- 테스트 케이스 생성
- 실제 소프트웨어에서 1000개 이상의 버그 발견
syzkaller — Linux 커널 퍼저
- 3000개 이상의 Linux 커널 버그 발견
- Google, Microsoft 사용
- 다양한 운영 체제 지원
4. 포트 스캐닝
Nmap — 네트워크 스캐너의 왕
# 기본 스캔
nmap -sV -sC target.com
# 스크립트가 포함된 전체 포트 스캔
nmap -p- -sV --script=vuln target.com
# 공격적 스캔
nmap -A target.com
masscan — 가장 빠른 인터넷 포트 스캐너
- 6분 만에 전체 인터넷 스캔
- Nmap과 호환
- 비동기 전송
5. 사회 공학 도구킷
SET (Social-Engineer Toolkit) — 완전한 피싱 프레임워크
- 웹사이트 복제
- 이메일 스피어 피싱
- 자격 증명 수집
- 다중 공격 벡터
evilginx2 — 2FA 우회 피싱 프레임워크
- 중간자 공격
- 세션 쿠키 캡처
- 이중 인증 우회
보안 학습 리소스
입문자용
- sec-wiki — 보안 위키백과
- FreeBuf — 해커와 기술자 뉴스
- Web Hacking 101 — 웹 보안 기초
- Kali Linux Web 침투 테스트 요리책
중급자용
- Burpsuite 실전 가이드 — 웹 침투 테스트
- API-Security-Checklist — API 보안 모범 사례
- Web-Security-Learning — 종합 웹 보안
- 응급 대응 실전 노트 — 응급 대응
고급 주제
- Linux 익스플로잇 개발 튜토리얼
- Android 침투 테스트
- Node.js 웹 보안 문제
- Python 보안 시리즈
취약점 타겟 연습
| 플랫폼 | 설명 | 링크 |
|---|---|---|
| vulfocus | Docker 기반 취약점 플랫폼 | GitHub |
| vulhub | 사전 구축된 취약한 환경 | GitHub |
| VulApps | 취약한 애플리케이션 모음 | GitHub |
| upload-labs | 파일 업로드 취약점 연습 | GitHub |
| bWAPP | 버그가 있는 웹 애플리케이션 | SourceForge |
| DVWA | 매우 취약한 웹 애플리케이션 | GitHub |
| WebGoat | OWASP 웹 보안 연습 | GitHub |
책임 있는 공개
⚠️ 경고: 여기에 나열된 모든 도구는 승인된 보안 테스트용으로만 사용됩니다. 이러한 도구를 명시적 허가 없이 시스템에 사용하는 것은 불법이며 비윤리적입니다.
법적 프레임워크
- CFAA (컴퓨터 사기 및 남용법) — 미국
- 컴퓨터 남용법 — 영국
- 사이버보안법 — 중국
- GDPR — EU 데이터 보호
모범 사례
- 항상 서면 승인을 받으세요
- 범위를 명확히 정의하세요
- 업무 시간을 존중하세요
- 발견 사항을 즉시 보고하세요
- 테스트 후 데이터를 삭제하세요
도구 선택 가이드
웹 애플리케이션 테스트
정찰: amass, subfinder, theHarvester
스캐닝: Nmap, masscan, whatweb
취약점: sqlmap, XSS 스캐너, dirsearch
공격: Burp Suite, 사용자 지정 스크립트
보고: Dradis, Faraday
네트워크 침투 테스트
발견: Nmap, masscan, nbtscan
열거: enum4linux, snmp-check
취약점: OpenVAS, Nessus
공격: Metasploit, Cobalt Strike
후 공격: PowerShell Empire, Mimikatz
레드팀 작전
초기 접근: SET, gophish, evilginx2
지속성: 사용자 지정 임플란트, 예약된 작업
권한 상승: PowerUp, BeRoot
측면 이동: Pass-the-hash, Kerberoasting
데이터 유출: DNS 터널링, HTTPS C2
관련 기사
- Agent Reach: AI 에이전트 인터넷 접근 — AI 기반 보안 자동화
- Code Vault: 7가지 암호화폐 거래 도구 — 금융 보안 도구
- Free Claude Code: 오픈소스 AI 코딩 — 안전한 코딩 관행
면책 조항: 본 문서는 교육 목적으로만 제공됩니다. 모든 도구는 책임감 있게 사용해야 하며, 소유하고 있거나 명시적 테스트 허가를 받은 시스템에만 사용해야 합니다. 작성자와 dibi8.com은 제공된 정보의 오용에 대해 책임을 지지 않습니다.