该篇博文用于记录我使用过或者了解到的一些开源安全软件或工具,持续更新
0X00 流量分析类(包括入侵防御、检测)
IDS&IPS:suricata,snort,两者都是基于正则和特征给数据包分类,识别到具体协议后再对数据包解包,查看是否有符合特征的威胁字节。10.1. Suricata.yaml — Suricata 6.0.0 documentationhttps://suricata.readthedocs.io/en/suricata-6.0.0/configuration/suricata-yaml.html
数据包捕获、分析、索引系统:moloch,https://github.com/aol/moloch
爱奇艺开发的全流量监控引擎:https://github.com/iqiyi/qnsm
0X01 蜜罐
1.HTTP蜜罐
glastopf:https://github.com/mushorg/glastopf
snare&tanner:https://github.com/mushorg/snare
2.SSH蜜罐
cowrie:https://github.com/cowrie/cowrie
3.蜜网
T-Pot:https://github.com/dtag-dev-sec/tpotce
4.其他牛逼蜜罐
https://github.com/paralax/awesome-honeypots
0X02 漏洞扫描类
1.OpenVas&Nessus
关于这两个漏扫引擎,可以查看我另一篇博客:Nessus社区版调用商业API_Hi~ o(* ̄▽ ̄*)ブ-CSDN博客
0X03 Web应用防火墙
1.openresty
基于nginx的Web服务器,基于规则对应用层流量进行分析,可拦截应用层攻击
https://github.com/openresty/openresty
0X04 RASP(Runtime Application Self-Protection)
和WAF一样,也是对Web服务器进行保护,但是WAF是在Web服务器外层进行流量监测,基于规则匹配,而RASP是针对应用程序执行流进行监测,结合上下文和用户输入来判定是否存在恶意攻击,是另一种保护Web服务器的解决方案。
1.Open-RASP
https://github.com/baidu/openrasp/blob/master/readme-zh_CN.md
0X05 病毒检测
病毒检测引擎实现原理大致分为两种,一种是基于特征扫描的病毒检测技术,例如扫描文件中特定的十六进制串;另一种通常称为启发式扫描,实质上就是对样本进行反编译,自动化识别一些高危指令。
1.ClamAV
思科的开源病毒检测引擎,基于特征扫描技术,目前还支持添加yara规则:https://github.com/Cisco-Talos/clamav-devel
注:Ubuntu上使用clamdscan时会碰到 Can't open file or directory ERROR,这不是权限引起的问题,而是apparmor.service,坑爹的是就算关闭了这个服务仍然会引起这个错误,需要配置相关规则。
编辑/etc/apparmor.d/usr.sbin.clamd文件,加入需要给与权限的目录,例如给与/home/sample/目录的读写权限:
/home/sample/* rw,
2.Bitdefender
https://github.com/malice-plugins/bitdefender
3.Quark
针对APK样本进行恶意评级的评分系统:https://github.com/quark-engine/quark-engine
4.KicomAV
和ClamAV类似,都是使用基于特征的检测技术,不过特征库没有ClamAV丰富,并且也没有专门的团队在维护该项目,与ClamAV相比略逊一筹。
https://github.com/hanul93/kicomav
0X06 主机层入侵检测
1.HIDS
https://github.com/ossec/ossec-hids
2.wazuh
https://github.com/wazuh/wazuh
0X07 样本分析相关
1.cuckoo
名气非常大的沙箱,最近正在学习这个,文档链接:Cuckoo Sandbox Book — Cuckoo Sandbox v2.0.7 Book
自己也在梳理cuckoo的安装部署流程及相关知识点:Ubuntu18安装cuckoo沙箱_Hi~ o(* ̄▽ ̄*)ブ-CSDN博客
cuckoo源码分析:cuckoo_游戏逆向 (゜-゜)つロ 逆向~-www.yxfzedu.com
2.HOOK工具
Frida:frida框架分为两部分,一部分是运行在系统上的交互工具frida CLI,另一部分是运行在目标机器上的代码注入工具frida-server,通过frida-server可以将JavaScript代码或库文件注入到目标应用程序中,以此来分析目标程序在运行时的行为。(https://github.com/frida/frida)
3.静态分析
Androguard:使用Python编写的逆向工具,它可以在多个平台上运行-Linux/Windows/OSX。使用它可以反编译android应用,也可以用来做android app的静态分析(https://github.com/androguard/androguard)
0X08 PoC
1.Pocsuite
知道创宇的PoC编写框架 https://www.seebug.org/ Pocsuite:an open-sourced remote vulnerability testing framework
0X09 靶场
1.DVWA
docker pull citizenstig/dvwa
2.Hacksplaining
帮助入门WEB攻击方式,非常适合初学者:Learn to Hack
3.Vulfocus
🚀Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。
https://github.com/fofapro/vulfocus
0X10
1.工具下载网站
CTF资源库|CTF工具下载|CTF工具包|CTF工具集合https://www.ctftools.com/down/
2.搜索开源项目的网站,比从Github搜索来得更快,更简单
https://awesomeopensource.com/projects/
3.开源情报搜索引擎(OSINT)|情报搜索引擎大全
https://www.ddosi.com/osint-x/
4.社交媒体情报搜集引擎|Social Media osint
https://www.ddosi.com/osint-media/
5.Web安全学习笔记
0X11 知识库
1.ATT&CK
Adversarial Tactics, Techniques, and Common Knowledge 一个攻击知识库和模型
官方网站:Getting Started | MITRE ATT&CK®
ATT&CK Matrix:ATT&CK矩阵,使用矩阵的方式展现攻击手法,分为Enterprise,Mobile和ICS。使用ATTCK Navigator可以在线查看矩阵信息:https://github.com/mitre-attack/attack-navigator
本人的一些总结:MITRE ATT&CK框架_Hi~ o(* ̄▽ ̄*)ブ-CSDN博客
2.国家信息安全漏洞库(CNNVD)
0X11 BAS
Top 10 Awesome Open-Source Adversary Simulation Tools - FourCore
0X12 漏洞相关
1.漏洞利用预测评分系统 (EPSS)
Machine Learning Improves Prediction of Exploited Vulnerabilities
0X13 RedTeam
1.viper:提供图形化界面的红队工具,支持docker一键部署
https://github.com/FunnyWolf/Viperhttps://github.com/FunnyWolf/Viper
首次安装 · 语雀脚本安装f8x工具支持在全新的linux环境一键安装v...https://www.yuque.com/vipersec/help/olg1ua
2.Cobalt Strike,简称CS,无人不知无人不晓的红队工具
闭源软件,只能使用PJ版,cobalt strike 4.7 破解版 cracked - 🔰雨苁ℒ🔰
免杀规避Wiki
https://evasions.ghostwolflab.com/