何为自动化渗透测试平台

自动化渗透测试平台,字如其意,即只需要输入目标域名,就可自动进行渗透测试,目的还是在于减少平时做项目时的工作量,将重复的工作自动化(降本增效);它能在做好资产梳理的同时快速发现各类漏洞,快人一步;外网主要用于项目快速打点批量SRC捡漏等场景,内网则主要用于风险资产发现资产测绘等场景。

目前流程主要分为5个部分,依次为:

  • 信息收集部分
  • 资产梳理部分
  • 端口扫描部分
  • 漏洞扫描部分
  • 报告输出部分

组成部分

目前还处于开发状态中,暂定组成部分为3个部分:

引擎:整套系统的核心,执行各种计划任务

后端:和引擎进行交互,任务下发

前端:用于展示结果,为了美观方便采用ELK搭建

结果展示

以斗鱼为例,各种态势图不在本次展示范围内。

资产梳理:

image-20230120171846967

部分信息:

image-20230120172512971

端口扫描:

image-20230222103044174

漏扫扫描:

大SRC因为扫描的人太多,很难出货高危严重,这里为了演示效果,以补天公益为例。

不过此漏扫在传统漏扫的基础上,增加了大量的新特性,因此在一些大SRC混低危礼品效果也很是不错。

昨天下午6点开扫,到目前接近扫描14个小时,可见出货率还是不错;但是这些公益SRC白嫖太费时间了,而且重复率巨高,不建议大家去刷,除非你有也自动化提交脚本

image-20230222104201729

表现情况

前面也说了,大SRC基本上很难直接出高危严重,所以我也变成了一个低危小子,只能勉强混混活动礼品补贴一下生活这个样子。

image-20230222104634452

不过也有运气好的时候

之前没在Hackerone提现过,现在试了好多次提不出来,不知道是不是方法不对,扫不动了。

image-20230222105449292

image-20230222105246199

开发时间线

多年前就一直在尝试,写过很多版,不过每次都是因为不够模块化导致一段时间没用后,或者改动调整太过麻烦,就懒得再去维护了,这次立个flag一定好好模块化!!!

当前这一版更新日志最早可追溯到2022年5月份,加上构思开发成型花了大概2个月的时间,到现在也差不多有一年了,期间也发牢骚发了一篇水文《近期思考和干的事》

image-20230222105937928

不过到现在我还在坚持更新,增加各种新特性、新功能来更加完善这个平台,不知道这次又能坚持多久哈哈。

image-20230222110438356

最后

DFF Team成立啦👏

DFF全称Decentralization Financial Freedom,短短3个字母包含了我们对每一位成员的期望,翻译过来为去中心化财务自由,即我们希望加入团队内的每一位成员,都可以实现财富自由!

Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2023-06-19 09:25:23

results matching ""

    No results matching ""