问题标签 [penetration-tools]

我在 https 的网站上强制使用密码时遇到了一些麻烦。这是我正在使用的命令：

但每次我开始这个过程时都会出现一条错误消息：

也许我使用了一些错误的参数，但我不知道如何继续。我正在 https 中的网站上进行测试以检查漏洞，这是第一次使用 hydra，所以如果您还可以链接一个网站来学习 hydra 和其他工具，那将非常有帮助。

我们在本地网络的共享子网中有漏洞扫描软件。我们现在正在添加托管在公共云上的 VM，并且需要对它们执行漏洞扫描。一种选择是打开从本地到公共云的单向流量，以便扫描程序可以访问所有虚拟机。所以所有端口都将对虚拟机开放（在一个方向上）。这是可取的吗？在子网中运行 vul 扫描软件，这样在本地和云之间根本不需要允许任何流量，不是更好吗？例如，与 VM 在同一子网中运行的扫描仪可以将结果推送到 dmz 中的中央扫描仪服务器。采用公共云的公司如何解决这个问题？

你好堆栈溢出的程序员，

我正在尝试为我的代码导入我的库，但是每当我在 PyCharm 上执行我的代码时，我都会收到错误消息：

有谁知道我如何导入ctypes？

我不知道该怎么做。

代码：

我对道德黑客和使用这些工具相当陌生，我想知道您如何确定您在 OSINT 阶段设法收集的有关域或组织的信息是否会对他们构成任何威胁。

例如，TheHarvester 设法返回了网站的一些关联子域和相应的 IP。我认为获取这些信息可能对想要闯入的人有用，因为其中一个子域可能是一个仍在开发中的子域，因此可能不太安全，但由于我发现的域不在开发中，并且都具有相同的IP，我设法获得的信息不会构成威胁吗？

从 theHarvester 发现的 IP 然后我使用 Whois 查找更多信息并设法收到network:Admin-Contact电子邮件。这会被认为使应用程序易受攻击吗？因为如果有人针对管理员的电子邮件地址，他们可以访问其他组织信息？

最后，我使用了 SpiderFoot，如前所述，它为我提供了许多 IP，但重要的是，它为我提供了一个附属域名cloudflare.com，它揭示了安全性，这是可能使组织易受攻击的信息，因为攻击者会知道安全软件并围绕实施的构建方法WAF

试图了解什么会被视为对组织的威胁以及我应该如何确定我的发现的威胁级别。对此有任何见解。提前致谢

我是该领域的新手，想学习一些东西，这似乎很有趣，如果您想了解该领域的基础知识，请联系我 discord：The Wock#2446 or name drop some discord servers that you like