何为自动化渗透测试平台
自动化渗透测试平台,字如其意,即只需要输入目标域名,就可自动进行渗透测试,目的还是在于减少平时做项目时的工作量,将重复的工作自动化(降本增效);它能在做好资产梳理的同时快速发现各类漏洞,快人一步;外网主要用于项目快速打点、批量SRC捡漏等场景,内网则主要用于风险资产发现、资产测绘等场景。
目前流程主要分为5个部分,依次为:
- 信息收集部分
- 资产梳理部分
- 端口扫描部分
- 漏洞扫描部分
- 报告输出部分
组成部分
目前还处于开发状态中,暂定组成部分为3个部分:
引擎:整套系统的核心,执行各种计划任务
后端:和引擎进行交互,任务下发
前端:用于展示结果,为了美观方便采用ELK搭建
结果展示
以斗鱼为例,各种态势图不在本次展示范围内。
资产梳理:
部分信息:
端口扫描:
漏扫扫描:
大SRC因为扫描的人太多,很难出货高危严重,这里为了演示效果,以补天公益为例。
不过此漏扫在传统漏扫的基础上,增加了大量的新特性,因此在一些大SRC混低危礼品效果也很是不错。
昨天下午6点开扫,到目前接近扫描14个小时,可见出货率还是不错;但是这些公益SRC白嫖太费时间了,而且重复率巨高,不建议大家去刷,除非你有也自动化提交脚本
表现情况
前面也说了,大SRC基本上很难直接出高危严重,所以我也变成了一个低危小子,只能勉强混混活动礼品补贴一下生活这个样子。
不过也有运气好的时候
之前没在Hackerone提现过,现在试了好多次提不出来,不知道是不是方法不对,扫不动了。
开发时间线
多年前就一直在尝试,写过很多版,不过每次都是因为不够模块化导致一段时间没用后,或者改动调整太过麻烦,就懒得再去维护了,这次立个flag一定好好模块化!!!
当前这一版更新日志最早可追溯到2022年5月份,加上构思开发成型花了大概2个月的时间,到现在也差不多有一年了,期间也发牢骚发了一篇水文《近期思考和干的事》。
不过到现在我还在坚持更新,增加各种新特性、新功能来更加完善这个平台,不知道这次又能坚持多久哈哈。
最后
👏DFF Team
成立啦
DFF全称Decentralization Financial Freedom
,短短3个字母包含了我们对每一位成员的期望,翻译过来为去中心化财务自由
,即我们希望加入团队内的每一位成员,都可以实现财富自由!