开源资产/漏洞管理平台使用测评

最新推荐文章于 2024-02-21 08:19:45 发布
最新推荐文章于 2024-02-21 08:19:45 发布
阅读量8.7k 收藏 13
点赞数 5
分类专栏: 信息安全 渗透测试 文章标签: 红队 蓝队 资产管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q851579181q/article/details/114263545
版权


对几款开源资产/漏洞管理平台的简单测评。

TideSec/Mars

​ ​ ​ ​ ​ ​ Mars(战神)——资产发现、子域名枚举、C段扫描、资产变更监测、端口变更监测、域名解析变更监测、Awvs扫描、POC检测、web指纹探测、端口指纹探测、CDN探测、操作系统指纹探测、泛解析探测、WAF探测、敏感信息检测等等!

在这里插入图片描述

地址

​ ​ ​ https://github.com/TideSec/Mars

使用命令
# docker run --name tide-mars  -p 5000:5000 -p 27017:27017  -p 13443:13443 -h tide-mars -d registry.cn-hangzhou.aliyuncs.com/secplus/mars:1.0  /usr/sbin/sshd -D

# docker exec tide-mars  /bin/bash -c '/bin/bash /root/Mars/start.sh'

登录密码默认为tidesec。
使用感受

​ ​ ​ ​ ​ 用户渗透测试和护网挺好的,但awvs过期了,需要另外配调外部接口。而且管理员密码貌似无法修改。


​ ​

insight2 洞察2

​ 洞察由宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。

在这里插入图片描述

地址

​ https://github.com/creditease-sec/insight2_docker

使用命令
(1) 使用Docker Compose

git clone https://github.com/creditease-sec/insight2_docker.git

cd insight2_docker
sudo docker-compose up

(2) 系统登录
地址:http://localhost:8000
帐号:admin
密码:admin!Aa2020
后台地址:http://localhost:8000/#/admin
使用感受

​ 总体感觉还可以,是个内部的src管理平台。

​ 不过那安全测试功能只是个摆设?


​ ​

sec-admin

​ ​ ​ 分布式资产安全扫描核心管理系统(弱口令扫描,漏洞扫描)

在这里插入图片描述

地址

​ ​ ​ https://github.com/smallcham/

使用命令
docker run --name sec-mysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=secpassword -d mysql:5.7

docker exec -i sec-mysql sh -c 'exec mysql -uroot -p"$MYSQL_ROOT_PASSWORD"' < create.sql

docker run -p 6379:6379 --name sec-redis -d redis


这个命令进行了修改  0.2版本
docker run -d -p 8888:80 --name sec --env HOST=http://172.17.0.1:8888 --env DB_URL=root:secpassword@172.17.0.1:3306/sec --env   RDS_URL=0:@172.17.0.1:6379  -v ~/sec-script:/var/www/html/sec-admin/static/plugin/usr smallcham/sec:core-0.2 && docker logs -f sec --tail 10
使用体验

​ ​ ​ ​ 不能all in one的,要单独启动各组件和节点,字典模块用起来不对劲。
​ ​ ​ ​ 这个不能挂公网,发现代码中存在一些漏洞。
​​ ​ ​ ​ 但用起来感觉还可以。




bayonet

​ ​ ​ bayonet是一款src资产管理系统,从子域名、端口服务、漏洞、爬虫等一体化的资产管理系统
在这里插入图片描述

地址:

​ ​ ​ 原版:https://github.com/CTF-MissFeng/bayonet

​ ​ ​ 1.2 docker版:https://github.com/dswangGH/bayonet

安装命令:
# docker pull missfeng/bayonet:v1.2

$ docker run -itd --name bayonet -p 8001:80 missfeng/bayonet:v1.2  # 后台启动容器

$ docker exec -it 8223 bash  # 进入容器中 8223是容器ID:822374ab6f7d简写

# /etc/init.d/postgresql start  # 启动数据库

# cd /root/bayonet/   # 进入项目目录

# vim config.py   # 编辑配置文件,找到 shodan_api,填入该参数值;其他配置可自己配置

# sh bayonet.sh  # 启动脚本

访问本机地址: http://127.0.0.1
默认用户名密码:root/qazxsw@123
使用体验:

​ ​ ​ ​ 有点像是一个扫描器,用起来不太顺手




Voyager

​ ​ ​ 旅行者探测器系统,一个安全工具集合框架

在这里插入图片描述

地址:

​ ​ ​ ​ ​ https://github.com/ddosi/Voyager

使用体验

​ ​ ​ ​ ​ ​ 安装存在很多问题,弃了

Blus.King
关注
  • 5
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
基于Java的开源文档管理平台/企业网盘设计源码
04-11
本源码提供了一个基于Java的开源文档管理平台/企业网盘设计。项目包含792个文件,其中包括254个Java源文件、168个BCMap文件、109个PNG图片、103个JavaScript文件、45个HTML文件、19个Less样式文件、16个CSS样式文件、15个SVG文件、12个XML文件和6个EOT字体文件。这个平台是瀚为云文档协作平台,它支持企业文件和个人文件的文件分库管理,并提供文件收藏夹、最近打开的文件、回收站等分区设置。平台还提供了统一存储、共享协作、权限控制等功能,并支持文件上传、目录维护、重命名、移动、复制、设置标签、锁定、删除、预览和动态跟踪等功能,适合需要文档管理和协作的企业或团队使用
高效开源基于Django框架的资产管理平台源码
03-25
项目概述:一款高效且开源资产管理平台,基于Python的Django框架开发。该平台源码包含多种文件类型,总计1140个文件,其中主要编程语言为Python,同时融合了JavaScript、CSS和HTML技术。 文件构成: - Python源文件(.py):663个,构成了平台的核心业务逻辑。 - JavaScript文件(.js):104个,实现了丰富的客户端交互功能。 - CSS样式表(.css):57个,负责平台的视觉效果和页面布局。 - 压缩包文件(.pak):53个,可能包含资源或数据的打包。 - PNG图片(.png):46个,用于界面图标和图像显示。 - 可执行文件(.exe):25个,可能用于平台的部署或运行支持。 - 文本文件(.txt):24个,可能包含配置信息或说明文档。 - JPEG图片(.jpg):21个,用于展示图片内容。 - Markdown文档(.md):17个,提供项目说明和文档支持。 - JSON配置文件(.json):16个,用于存储配置和会话数据。 简而言之,这是一个基于Django框架,集成了多种技术的高效资产管理平台,旨在为用户提供一个功能全面、易于维护和扩展的开源解决方案。
一款开源漏洞预警平台
pandazhengzheng的博客
02-21 909
一款开源漏洞预警平台
国内第二套开源资产管理系统,适合于对多个站点进行扫描.zip
01-21
管理系统是一种通过计算机技术实现的用于组织、监控和控制各种活动的软件系统。这些系统通常被设计用来提高效率、减少错误、加强安全性,同时提供数据和信息支持。以下是一些常见类型的管理系统: 学校管理系统: 用于学校或教育机构的学生信息、教职员工信息、课程管理、成绩记录、考勤管理等。学校管理系统帮助提高学校的组织效率和信息管理水平。 人力资源管理系统(HRM): 用于处理组织内的人事信息,包括员工招聘、培训记录、薪资管理、绩效评估等。HRM系统有助于企业更有效地管理人力资源,提高员工的工作效率和满意度。 库存管理系统: 用于追踪和管理商品或原材料的库存。这种系统可以帮助企业避免库存过剩或不足的问题,提高供应链的效率。 客户关系管理系统(CRM): 用于管理与客户之间的关系,包括客户信息、沟通记录、销售机会跟踪等。CRM系统有助于企业更好地理解客户需求,提高客户满意度和保留率。 医院管理系统: 用于管理医院或医疗机构的患者信息、医生排班、药品库存等。这种系统可以提高医疗服务的质量和效率。 财务管理系统: 用于记录和管理组织的财务信息,包括会计凭证、财务报表、预算管理等。财务管理系统
宜信漏洞管理平台--洞察搭建
11-06 701
0x01 平台介绍 洞察是宜信安全部用来对公司内部系统所出现的安全漏洞进行线上全生命周期管理漏洞管理平台。 主要由3部分组成: 应用系统资产管理 漏洞生命周期管理 安全知识库管理 应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责人等。 漏洞生命周期管理:对公司应用系统产生的安全漏洞进行线上提交、通告、知悉、复测、分类、风险计算...
开源安全风险管理平台-洞察
荏苒化蝶
06-02 1873
项目主页:https://cesrc-creditease.github.io 1,洞察是什么 洞察由宜信安全部开发,集成应用系统资产管理漏洞全生命周期管理、安全知识库管理三位一体的管理平台。 本次全新的洞察2.0版本,产品初衷让用户方便快捷地进行风险管理 ,更加直观和实时地了解和处置自己的安全隐患。提升漏洞修复效率,同时进行安全风险管理功能联动。 产品化繁为简,使用便携,才会让人更加专注。上手容易,才能令人由浅入深使用。功能简化,专业程度才会更强。大多数企业都有适合自己环.
开源漏洞评估和渗透测试管理平台
beetxia的博客
08-05 1185
开源漏洞评估和渗透测试管理平台 1.简介 Reconmap 是一个漏洞评估和渗透测试 (VAPT) 平台。它帮助软件工程师和信息安全专业人员在安全项目上进行协作,从规划到实施和输出文档。该工具的目标是在尽可能短的时间内从侦察到输出报告。 2.安装 一.从github(https://github.com/reconmap/reconmap)拉取文件: 进入reconmap目录,docker-compose up -d,如图2-1所示 图2-1,docker运行 二.打开浏览器访问http://loca.
2021-06-16 开源漏洞平台 OpenCVE
菜鸡
06-17 1520
开源漏洞平台 OpenCVEDocker-copose 部署配置初始化构建镜像初始化数据库导入数据创建一个管理员后台启动服务手动安装PostgreSQL 安装Redis 安装OpenCVE 安装相关截图 平台概览 GitHub Docker-copose 部署 配置 获取OpenCVE Docker $ git clone https://github.com/opencve/opencve-docker.git 准备并从conf目录复制配置文件: $ cd opencve-docker &&a
很多中小企业都在用的3款开源软件被曝多个漏洞
smellycat000的专栏
07-28 334
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士本周二,网络安全研究员发布影响三个开源项目 EspoCRM、Pimcore 和 Akaunting 的9个安全漏洞。多家中小型企业...
打造安全的Open RAN
残星说梦话
09-19 186
最后,加固功能,如在不使用时禁用不必要的软件组件和接口,以正确的权限级别运行软件,对存储的数据进行扰乱/加密,以及安全启动和基于硬件的安全模块,都是典型的O-RU全面安全程序的一部分,以抵御以及防止对O-RU的未授权访问。O-RAN网络中的云原生网络功能,即O-CU-CP、O-CU-UP、O-DU、近实时RIC和非实时RIC,都托管在云原生平台上,与云计算行业使用的云原生平台非常相似。尽管存在误解,但O-RAN技术规范中定义的开放接口提供了更多的独立可见性,并提供了全面增强更安全系统的机会。
开源IT资产管理系统Snipe-IT
热门推荐
wbsu2004的博客
10-18 1万+
Snipe-IT 是一个用 PHP 编写的免费开源 IT 资产管理系统。
open-cmdb:开源资产管理平台
02-04
硬件管理:机房/机柜/设备 业务管理:业务线/项目 数据自动化:自动抓取服务器信息做集中化存储 用户和组 报表展示硬件/业务/用户各维度数据图形化 定时任务管理 对各服务器的定时任务创建/修改 批量发行同步 任务...
开源IT资产管理系统Snipe-IT-V4.9.0
03-15
Snipe-IT 是一个开源资产管理系统。Snipe-IT 用于IT资产管理,IT部门通过它能够跟踪谁拥有哪台笔记本电脑、何时购买、包含哪些软件许可证和可用的附件等等。
基于Java的开源CRAP API接口管理平台设计源码
最新发布
04-18
本项目是基于Java的开源CRAP API接口管理平台设计源码,包含1434个文件,其中主要包含698个js脚本文件,305个java源代码文件,189个html页面文件等。系统采用了JavaScript、Java、HTML和CSS技术,实现了一个完全开源...
开源IT资产管理系统.docx
10-12
开源IT资产管理系统
Snipe-IT:一个免费的开源 IT 资产/许可证管理系统-开源
07-12
Snipe-IT 是一个免费的开源资产/许可证管理系统,具有强大的内置功能。 它是一个基于 Web 的软件,必须在 Web 服务器上运行并通过 Web 浏览器访问。 Snipe-IT 非常人性化,非常适合 IT 运营:跟踪谁拥有哪台笔记本...
Snipe-IT:免费的开源IT资产/许可证管理系统-开源
05-12
Snipe-IT是具有功能强大的内置功能的免费开放源代码资产/许可证管理系统。 它是基于Web的软件,必须在Web服务器上运行并通过Web浏览器进行访问。 Snipe-IT非常易于使用,非常适合IT操作:跟踪谁拥有哪台笔记本电脑,...
网安开源工具-漏洞管理
11-07
Aqua Trivy Faraday Security OpenVAS Vuls archerysec-2.0.5.tar.gz lynis-3.0.9.tar.gz nikto-master.zip smbmap-1.9.1.tar.gz
免费开源资产管理系统GLPI 9.4.5
05-05
GLPI提供功能全面的IT资源管理接口,可以用来建立数据库全面管理IT的电脑,显示器,服务器,打印机,网络设备,电话,甚至硒鼓和墨盒等。提供Helpdesk用户支持平台;联系人,合同,合作商,以及文档的管理;提供资源...
开源C/C++项目中的漏洞例子
05-12
以下是一些开源C/C++项目中的漏洞例子: 1. OpenSSL漏洞:在2014年,一个名为“心脏出血”(Heartbleed)的漏洞被公开,该漏洞影响了OpenSSL库的版本1.0.1和1.0.2。该漏洞允许攻击者从服务器内存中读取数据,包括用户密码和私钥等敏感信息。 2. Apache Struts 2漏洞:在2017年,一个名为“Equifax”的大规模数据泄露事件发生,其中包含了约1.43亿美国消费者的敏感信息。这是由于Apache Struts 2漏洞引起的,该漏洞允许攻击者远程执行代码,导致服务器受到攻击。 3. libpng漏洞:在2015年,一种名为“badpng”的漏洞被公开,影响了大量使用libpng库的应用程序。该漏洞允许攻击者通过特制的PNG图像文件来执行任意代码。 4. Bash漏洞:在2014年,一个名为“Shellshock”的漏洞被公开,影响了许多使用Bash Shell的Linux和Unix系统。该漏洞允许攻击者通过构造的环境变量来执行任意代码。 5. ImageMagick漏洞:在2016年,一个名为“ImageTragick”的漏洞被公开,影响了ImageMagick图像处理库的版本6.2.9到6.9.3-10。该漏洞允许攻击者通过恶意图像文件来执行任意代码。 需要注意的是,这些漏洞已经被修复,因此如果您使用的是最新版本的这些库或应用程序,您将不会受到这些漏洞的影响。然而,这些漏洞的存在提醒我们,开发人员需要审查和测试他们使用的库和代码,以确保其安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值