關于星鏈計劃

「404星鏈計劃」是知道創宇404實驗室于2020年8月提出的開源項目收集計劃,這個計劃的初衷是將404實驗室內部一些工具通過開源的方式發揮其更大的價值,也就是“404星鏈計劃1.0”,這里面有為大家熟知的Pocsuite3、ksubdomain等等,很快我們就收到了許多不錯的反饋。2020年11月,我們將目光投向了整個安全圈,以星鏈計劃成員為核心,篩選優質、有意義、有趣、堅持維護的開源安全項目,為立足于不同安全領域的安全研究人員指明方向,也就是“404星鏈計劃2.0”。為了更清晰地展示和管理星鏈計劃的開源項目,2022年11月22日我們將1.0和2.0整合,推出改版后的「404星鏈計劃」。

Github地址:https://github.com/knownsec/404StarLink

新項目發布

01 Antenna

項目鏈接:https://github.com/wuba/Antenna

項目簡介:

Antenna是58同城安全團隊打造的一款輔助安全從業人員輔助驗證網絡中多種漏洞是否存在以及可利用性的工具。其基于帶外應用安全測試( OAST)通過任務的形式,將不同漏洞場景檢測能力通過插件的形式進行集合,通過與目標進行Out-of-bind的數據通信方式進行輔助檢測。

項目特點、亮點:

  • 基礎版支持HTTP/DNS/RMI/LADP等協議請求監聽組件
  • 支持XSS\XXE\JSONP\SSRF以及自定義http返回資源等漏洞場景利用組件
  • 良好的用戶體驗,支持平臺多用戶認證體系,支持團隊協同使用
  • 良好的隱匿性,包括但不限于自定義隱藏系統登錄地址,以及提供隱匿性部署教程
  • 強大的自定義組件,支持自定義開發組件,允許用戶根據場景需求開發適合自己的平臺組件
  • 自定義消息通知接口,除常規的郵件通知以及OPENApi接口外,允許用戶自定義消息通知接口,支持與自動化掃描工具進行能力打通

02 murphysec

項目鏈接:https://github.com/murphysecurity/murphysec

項目簡介:

  • 專業的軟件成分分析(SCA)

  • 許可證合規評估

  • 代碼漏洞檢測

  • 全準快的漏洞知識庫

項目特點、亮點:

  • 低成本接入開發流程:可以快速集成到 DevOps 的各個流程中

  • 項目依賴信息分析:支持分析項目使用的依賴信息,包含直接依賴和間接依賴

  • 支持語言豐富:Java、Javascript、Golang、Python等

03 appshark

項目鏈接:https://github.com/bytedance/appshark

項目簡介:

appshark是字節內部孵化的專門針對安卓的安全隱私合規掃描引擎。在項目上馬伊始,無恒實驗室對業內自動化 App 漏洞檢測工具進行了充分調研,最終發現這些工具或因為漏報、誤報率太高導致需要消耗大量人力對掃描結果進行確認,或因為不開放源碼導致無法根據特定的掃描需求進行定制化開發。為了能更好的實現高質量漏洞及隱私合規檢測,無恒實驗室自主研發了 appshark 引擎,用于漏洞及隱私合規風險的自動化檢測。無恒實驗室選擇將這個引擎開源,成為一個公共的工具,希望吸引更多業界專家參與打磨,為企業及白帽子做 App 風險檢測提供便利。

項目特點、亮點:

  • 完整的指針分析,指針分析代價昂貴,但是這也保證了appshark整體結果可以有較高的準確率。

  • 靈活的規則,靈活的source, sink, santizer,甚至有規則內的tainttweak,讓結果更準確。

  • 強大的配置選項,既可以通過參數配置,也可以通過引擎配置,對引擎進行定制,在時間、空間和結果準確性之間做出平衡。

  • 完整詳細的數據流,結果中有詳細的數據流,讓你清晰的看出污點是如何一步一步從source 傳播到sink。

加入我們

如果你的安全開源項目有意加入404星鏈計劃,請在星鏈計劃 Github 主頁的 issue 提交項目申請:https://github.com/knownsec/404StarLink/issues

提交格式如下:
項目名稱:
項目鏈接:
項目簡介:
項目特點、亮點:

項目審核通過后,我們將發送邀請函郵件,項目正式加入404星鏈計劃。

星際奇兵

404星鏈計劃開源工具視頻演示欄目【星際奇兵】第二期來了,跟我們一起快速上手這些優秀的安全工具吧!

視頻鏈接:https://www.bilibili.com/video/BV1eU4y1z7si/
第二期演示項目:HackBrowserData
項目作者:moonD4rk
項目地址:https://github.com/moonD4rk/HackBrowserData
404星鏈計劃地址:https://github.com/knownsec/404StarLink

關注我們B站(知道創宇404實驗室),第一時間獲取演示視頻~

想要學習和交流開源安全工具的朋友可以加入404星鏈計劃社群,請掃碼識別運營菜菜子微信二維碼,添加時備注“星鏈計劃”。

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1974/