ASE(Asset Scan Engine)资产扫描器

已于 2022-02-28 21:50:45 修改
阅读量3k 收藏 13
点赞数 1
分类专栏: 工具 安全 文章标签: 扫描测试工具 资产扫描器
于 2021-07-13 01:04:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/118125753
版权
安全 同时被 2 个专栏收录
58 篇文章 17 订阅
订阅专栏
工具
29 篇文章 3 订阅
订阅专栏

文章目录


相信很多安全人员,经常会写一些验证性POC,而这些好东西用完经常就被放在了某个角落,想再用的时候又要翻半天,一直希望有一个比较好的开源扫描平台可以存放这些东西,供自己或者大家直接使用。

ASE是我利用下班、放假时间,前后花了一个多月写出来的,也许并不复杂,主要是经常晚上加班累了,回来就不想写了,再加上一点都不会前端,因此断断续续写了一个多月。

之所以选择python,主要是方便、好学、易用、库多,比如用python编写了一个POC,直接就可以通过ASE放进扫描器,不用进行复杂的编译。

说明和安装详情见:https://github.com/5wimming/ASE,该篇博文后续不再同步更新

ASE

ASE(Asset Scan Engine)是一个简单的基于BS的主机、域名扫描器,但它又可以没那么简单。

ASE是开源的,扫描的漏洞策略是可自行定制添加的;并且提供了nvd漏洞库的自动更新接口,使得在没有漏洞策略的情况下,通过版本匹配相应漏洞。

相对于nexpose、nessus等这类庞大的扫描器,我希望ASE未来只收纳几十到几百种高危可远程利用的扫描策略,诸如命令注入、反序列化、任意文件上传下载等这类可远程利用的漏洞。

ASE主要功能

1、发现开放端口的服务,如协议、应用、版本等

2、发现http的相关服务,如title、返回头、状态等

3、与nvd库进行比较,发现版本存在漏洞的应用

4、定制扫描策略,扫描特定漏洞

5、提供3和4的更新接口,可自动化更新

6、当ip数量和端口数量的乘积小于5000,采用纯nmap扫描;大于5000,采用masscan+nmap扫描。255个IP全端口扫描时间大概一天左右

用户群体

  • 个人
  • 小型企业
  • 小型实验室

界面

首页地址:http://127.0.0.1:58088/ase

任务界面
在这里插入图片描述

ASE的使用

创建任务

目前只支持扫描ip和域名
在这里插入图片描述
在这里插入图片描述

更新扫描策略

左侧,从上到下,依次是CVE策略更新,自建扫描策略
在这里插入图片描述
nvd更新接口
在这里插入图片描述

扫描结果

有三种结果,端口扫描结果、漏洞结果、web信息结果
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

docker安装

见:https://hub.docker.com/repository/docker/new6ee/ase-dc

源码安装

源码获取

github

mysql安装

win10

win10安装教程:https://www.cnblogs.com/xiaokang01/p/12092160.html

linux

linux安装:
apt-get install mysql-server
service mysql start

本项目的mysql密码:

Ase5scan.

redis安装

sudo apt-get install redis-server

依赖库安装

python3 -m pip install Django==3.2.4
python3 -m pip install mysqlclient
python3 -m pip install django-simpleui==2021.6.2
python3 -m pip install IPy django-import-export
python3 -m pip install python-nmap
python3 -m pip install beautifulsoup4
python3 -m pip install requests
python3 -m pip install django-redis

python3 -m pip Django==3.2.4 mysqlclient django-simpleui IPy django-import-export python-nmap beautifulsoup4 requests
# 更新命令,没事别更新,会有不兼容的情况出现
python3 -m pip install Django django-simpleui --upgrade

工程搭建

创建数据库

create database ase_data default charset=utf8;

在这里插入图片描述
创建表结构

python3 manage.py makemigrations
python3 manage.py migrate

在这里插入图片描述
创建超级用户

python3 manage.py createsuperuser

在这里插入图片描述

用户名:ase005
密码:ase005.

开启项目

python3 manage.py runserver 0.0.0.0:8080 --insecure

在这里插入图片描述

申明

ASE只可用于做个人资产的安全排查,切勿他用,否则后果自负

5wimming
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
内网扫描工具
09-25
#网络资产信息扫描 在渗透测试(特别是内网)中经常需要对目标进行网络资产收集,即对方服务器都有哪些IP,IP上开了哪些端口,端口上运行着哪些服务,此脚本即为实现此过程,相比其他探测脚本有以下优点:1、轻巧简洁,只需python环境,无需安装额外外库。2、扫描完成后生成独立页面报告。 此脚本的大概流程为 ICMP存活探测-->端口开放探测-->端口指纹服务识别-->提取快照(若为WEB)-->生成结果报表 运行环境:python 2.6 + 参数说明 -h 必须输入的参数,支持ip(192.168.1.1),ip段(192.168.1),ip范围指定(192.168.1.1-192.168.1.254),ip列表文件(ip.ini),最多限制一次可扫描65535个IP。 -p 指定要扫描端口列表,多个端口使用,隔开 例如:22,23,80,3306。未指定即使用内置默认端口进行扫描(21,22,23,25,53,80,110,139,143,389,443,445,465,873,993,995,1080,1723,1433,1521,3306,3389,3690,5432,5800,5900,6379,7001,8000,8001,8080,8081,8888,9200,9300,9080,9999,11211,27017) -m 指定线程数量 默认100线程 -t 指定HTTP请求超时时间,默认为10秒,端口扫描超时为值的1/2。 -n 不进行存活探测(ICMP)直接进行扫描。 结果报告保存在当前目录(扫描IP-时间戳.html)。 例子: python NAScan.py -h 10.111.1 python NAScan.py -h 192.168.1.1-192.168.2.111 python NAScan.py -h 10.111.1.22 -p 80,7001,8080 -m 200 -t 6 python NAScan.py -h ip.ini -p port.ini -n 服务识别在server_info.ini文件中配置 格式为:服务名|默认端口|正则 例 ftp|21|^220.*?ftp|^220- 正则为空时则使用端口进行匹配,否则以正则匹配结果为准。 项目地址 https://github.com/ywolf/ 欢迎大家反馈建议和BUG
Amplify Shader Editor v1.8.7z ASE TA技美专用shader编辑器
09-07
TA技美专用shader编辑器,图形程序专用、特效专用,就是这玩意儿! 童叟无欺,最实惠 以人格担保,可下、可用、可运行、无报错,绝不浪费你时间,下吧兄弟! ASE版本很新 1.8 支持URP/HDRP
工具推荐|新鲜出炉,一键全自动资产漏洞探测扫描工具(攻击面管理(ASM)工具)
Javachichi的博客
12-30 1378
攻击面管理(ASM,Attack Surface Management)是这两年安全行业很火的概念,强调企业应该从攻击者的视角去发现企业暴露在互联网上的资产、持续监测可能存在的安全威胁,最终实现消除外部威胁的目的。攻击面管理和漏洞扫描、漏扫管理、资产管理、零信任类的产品都有一些关系,从理念的角度:ASM 强调 “持续发现” 和 “持续扫描”ASM 的资产采集像知识图谱,在持续扫描的过程中逐渐补全,具备自动进化能力,每次扫描相较于上一次的效果都会更优ASM 更关注 “暴露面”,更关注 “资产变动”
Goby资产扫描工具安装及报错处理
Young的博客
01-20 7005
官网: https://cn.gobies.org/index.html 产品介绍: 帮企业梳理资产暴露攻击面,新一代网络安全技术,通过为目标建立完整的资产数据库,实现快速的安全应急。 已有功能: 扫描 资产扫描 端口扫描 协议识别 产品识别 Web Finder 漏洞扫描 网站截图 代理扫描 域名扫描 深度测试 CS架构 漏洞 自定义PoC 自定义字典 漏洞利用 远程会话 报告 数据统计及分析 导出报告 功能详细图文介绍,请官网查看:https://cn.gobies.org/features
探索 Asset-Scan:一款强大的资产扫描工具
最新发布
gitblog_00086的博客
03-28 459
探索 Asset-Scan:一款强大的资产扫描工具 项目地址:https://gitcode.com/ATpiu/asset-scan Asset-Scan 是一个开源项目,旨在帮助开发者和安全专家快速发现并管理他们的数字资产。它采用了先进的网络爬虫技术和深度解析规则,能够在大规模互联网范围内搜索指定类型的资源,如域名、IP 地址、数据库实例等。 技术分析 网络爬虫技术:Asset-Scan ...
功能强大的企业网络资产安全漏洞扫描工具;RTA
2301_77472496的博客
07-24 331
RTA是flipkart安全团队创建的一个内部框架,用于监控公司在线资产的外部攻击面,并提供关于任何安全异常的整体安全视图。此教程为纯技术分享!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。RTA已经在Ubuntu/Debian(基于apt-get的发行版)发行版上进行了测试,它也可以与Mac OS一起使用(但如果你在Mac OS上运行它,请用与系统架构匹配的程序二进制文件替换binaries文件夹中的内容)。自定义搜索引擎API密钥。
W12Scan:一款功能强大的网络安全资产扫描引擎
weixin_43977912的博客
04-05 1361
工具安装 我们可以使用Docker直接完成分析环境的搭建,操作命令如下: git clone https://github.com/boy-hack/w12scan cd w12scan docker -composeup –d 环境搭建完成后,我们可以直接在浏览器中访问地址:http://127.0.0.1:8000。 默认账号和密码均为:boyhack。 下面给出的是W12Scan的Web源程序接口: 本工具基于Python3+Django+Elasticsearch+Redis构建,并且使用了Web
多功能s扫描器 php168,F-NAScan:一款网络资产扫描工具
weixin_28707739的博客
04-15 683
工具有点老旧,但昨天用到了,还不错,轻巧网络资产信息扫描在渗透测试(特别是内网渗透)中经常需要对目标进行网络资产收集,即探测对方服务器都有哪些IP,IP上开了哪些端口,端口上运行着哪些服务。 该脚本即为实现此过程,相比其他探测脚本有以下优点:轻巧简洁,只需python环境,无需安装额外外库。扫描完成后生成独立页面报告。此脚本的大概流程为:ICMP存活探测-->端口开放探测-->端口指纹...
django项目实战之漏洞扫描系统(源码+说明+演示视频).zip
06-10
源码亲测可用,可做计算机毕业设计、课程设计等参考。 【项目技术】 python+Django+mysql 【实现功能】 本次的漏洞扫描主要是集中在对于端口的漏洞扫描,是通过对目标主机的端口和网络服务进行扫描来确认该主机是否存在后门和漏洞。将端口的扫描与漏洞扫描相分离,通过分开的方式来进行漏洞的具体扫描。此次的设计在端口的扫描上,是通过以IP+端口的方式来进行合并的检测,确保端口和IP是有效的,是正常运行的。在确认端口有效后,在进行漏洞的扫描,从而降低漏洞扫描的盲目性,能够有效的提升漏洞扫描的效率。
浅谈数据资产扫描的几个步骤
qq_35104900的博客
05-07 391
所谓数据资产,指的是组织内的全部或部分数据实体,包括数据库、文件和文档等,这些数据不仅在整个IT系统生命周期内有着重要的生产力和业务价值,而且对于一些敏感和保密数据,安全性更是必不可少。为了有效解决这些挑战,可以选择一些专业的技术供应商和团队,利用先进的技术手段和工具,配合规范的扫描流程和实时监控,以全面保护组织的数据资产安全。首先需要明确需要进行扫描的目标资产,例如数据库、文件和文档等。识别和确认发现的漏洞和威胁,并对其进行评估和分类,由此来确立优先级和急迫程度,辅助组织制定出详细和可行的解决方案。
Komo 综合资产收集和漏洞扫描工具
黑战士的博客
01-09 7316
Komo集成了oneforall,subfinder,ksubdomain,amass,ctfr,emailall,httpx,naabu,TxPortMap,ehole,goon3,crawlergo,rad,hakrawler,gau,gospider,URLfinder,vscan,nuclei,afrog,vulmap,SweetBabyScan,xray等20多款工具,全自动化、智能化工具。Komo 可以将模块产生的数据,交给另外一个模块处理,同时支持单模块单独使用和符合逻辑的多模块任意组合。
FOFA资产扫描工具
2301_76769195的博客
12-03 321
FOFA资产扫描工具的简单运用
ASE_ASE光源_
09-29
ASE宽谱光源的仿真程序,考虑了速率方程,可直接使用。
unity插件ASE(1.8.9.035)
02-13
unity插件ASE(1.8.9.035)
ASE加密码方式_ASE_
09-29
ASE 加密码方式 ( 含 c# 与 java 两个版本 )
ASE.rar_ASE
09-19
在VC环境中,结合OpenGL的强大功能,实现.ASE格式的图形数据的读取操作。
spf、dkim、dmarc介绍与邮件伪造研究
热门推荐
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spf、dkim、dmarc介绍SPFDKIMDMARC测试工具Swaks spf、dkim、dmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 记录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名的 SPF 记录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件域
手机app逆向、渗透测试基础工具介绍
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-15 7524
手机app逆向基础工具介绍1、夜神模拟器2、Androidkiller3、burpsuite 本文介绍了三款手机软件逆向工具: 模拟器:夜神模拟器 apk编辑器:Androidkiller 代理抓包器:burpsuite 1、夜神模拟器 夜神模拟器是一款可以在mac或者windows上运行的模拟器,用于运行手机软件。 下载地址:https://www.yeshen.com/ 下载后安装即可。...
unity ase 安装
07-02
### 回答1: Unity ASE(Amplify Shader Editor)是Unity的一款强大的着色器编辑器插件。它允许开发者在Unity中创建和定制高度复杂的着色器,以实现更好的图形效果。 首先,安装Unity ASE需要先下载插件文件。我们可以在Unity Asset Store或Amplify Creations的官方网站上下载ASE的安装包。安装包通常是一个.unitypackage文件。 在Unity编辑器中,我们可以通过双击.unitypackage文件,或者在Unity菜单中选择"Assets" -> "Import Package" -> "Custom Package"来打开ASE安装程序。 安装程序会显示有关要导入的文件和文件夹的信息。我们可以查看并选择要导入的内容。一般我们会选择所有的文件和文件夹,以确保所有的功能都能正常使用。然后点击"Import"按钮开始导入过程。 导入过程可能需要一些时间,具体取决于电脑的性能和文件大小。一旦导入完成,我们可以在Unity编辑器的菜单栏中看到ASE的选项。 要在项目中使用ASE,我们可以创建一个新的着色器材质,并将Amplify Shader Editor添加到该材质的着色器中。我们可以通过在材质检视器中选择"Shader"属性,然后从弹出的列表中选择ASE来设置ASE着色器。 在ASE编辑器中,我们可以通过将节点连接在一起来创建着色器的各个部分。我们可以通过拖动节点、调整参数和使用各种节点来实现所需的图形效果。 完成着色器的编辑后,我们可以将其应用到游戏对象或场景中,以查看效果。我们可以在Unity中进行实时预览和调整,以便实现理想的视觉效果。 通过以上步骤,我们就可以成功安装和使用Unity ASE插件来创建和定制着色器,以提升游戏或应用的图形效果。 ### 回答2: Unity ASE(Amplified Shader Editor)是一款强大的着色器编辑器,可用于在Unity开发环境中创建和编辑自定义着色器。以下是关于如何安装Unity ASE的步骤: 首先,确保您已经安装了最新版本的Unity编辑器。在Unity官方网站上下载并安装适用于您的操作系统的Unity编辑器。 接下来,打开Unity编辑器并创建一个新的Unity项目或打开现有的项目。 在Unity编辑器中,单击“窗口(Window)”菜单,然后选择“软件包管理器(Package Manager)”。 在软件包管理器面板中,确保您正在查看的是“Unity 注册表(Unity Registry)”选项卡。然后,搜索“Amplify Shader Editor”。您将看到Unity ASE的最新版本。 单击“下载(Download)”按钮开始下载和安装Unity ASE。 下载和安装完成后,您将在Unity编辑器的“窗口(Window)”菜单中找到Unity ASE选项。单击它以打开Unity ASE编辑器。 现在,您已成功安装Unity ASE。您可以使用Unity ASE编辑器创建和编辑自定义着色器,并将其应用于您的Unity项目中的对象上。 请注意,Unity ASE是一个商业插件,并且需要购买许可证才能在商业项目中使用。您可以在Amplify Creations官方网站上获取更多关于许可证和定价的信息。 希望以上信息对您有所帮助,并顺利安装Unity ASE。 ### 回答3: Unity ASE是Unity游戏开发引擎的一款插件,用于创建和编辑游戏中的着色器(Shader)。下面是Unity ASE的安装步骤: 首先,需要先下载Unity ASE插件。可以在Unity的Asset Store或者官方网站上找到Unity ASE的下载链接。点击下载链接,选择适用于自身版本的插件。 下载完成后,解压缩插件文件。你会得到一个.unitypackage文件。 接下来,打开Unity游戏开发引擎。如果还没有Unity的话,需要先下载并安装Unity。 在Unity中,打开“Assets”菜单,选择“Import Package”>“Custom Package”。 浏览文件资源管理器,找到之前下载并解压的.unitypackage文件,选择打开。 Unity会显示一个面板,列出了即将导入的Unity ASE插件文件。确保所有文件都处于选中状态,然后点击“Import”按钮。 Unity会自动导入插件文件并将其添加到项目中。导入完成后,你会看到Unity ASE的文件夹出现在项目的“Assets”目录下。 现在,你可以开始使用Unity ASE插件了。可以在Unity的Material属性面板上找到ASE按钮,点击它可以打开Unity ASE插件的编辑界面。 通过Unity ASE,可以创建新的着色器、修改现有的着色器、调整材质的渲染效果等等。你可以在Unity ASE的官方网站上找到更多关于如何使用该插件的教程和文档。 总结一下,安装Unity ASE包括下载插件、导入插件到Unity项目中,然后就可以开始使用该插件进行游戏着色器的创建和编辑了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值