这是一份甲方安全开源项目清单,收集了一些比较优秀的安全开源项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。
项目收集的思路:
一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。另一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。
这个收集是一个长期的过程,我在GitHub创建了一个项目,专门用来收集一些优秀的甲方安全项目。
GitHub项目地址:
https://github.com/Bypass007/Safety-Project-Collection
公共情报库
关于情报的收集,一方面可以从开源情报渠道抓取(如VirusTotal、Cymon等),另一方面可以从内部安全组件获取(如WAF、NTA),还可以通过批量扫描、DDoS攻击等渠道获取。
威胁情报收集梳理框架:GOSINT、Spiderfoot
查询Whois及历史DNS信息比较好的工具有:SecurityTrails
查询综合性威胁情报比较好的工具有:IBM X-Force Exchange、Crymon
在综合性互联网端口查询、服务统计方面做的比较好的工具有:SHODAN、Censys、FOFA
在恶意文件、URL、域名、MD5的分析方面做的比较好的工具
项目内容
根据企业安全能力建设的需求,大致可以分为如下几种类型:
资产管理
-
BlueKing CMDB:一个面向资产及应用的企业级配置管理平台。
-
OpsManage:一款代码部署、应用部署、计划任务、设备资产管理平台。
-
Assets View:资产发现、网络拓扑管理系统。
-
Ansible:一种集成 IT 系统的配置管理、应用部署、执行特定任务的开源平台。
-
Saltstack:一个具备puppet与func功能为一身的集中化管理平台。
漏洞管理
-
insight:洞察-宜信集应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的平台。https://github.com/creditease-sec/insight
搭建过程可参考百度文章:https://www.cnblogs.com/xiaozi/p/9914111.html
-
xunfeng:一款适用于企业内网的漏洞快速应急,巡航扫描系统。通过搜索功能可清晰的了解内部网络资产分布情况,并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。
https://github.com/ysrc/xunfeng
其主体分为两部分:
网络资产识别引擎,漏洞检测引擎。网络资产识别引擎会通过用户配置的IP范围
定期自动的进行端口探测(支持调用MASSCAN),并进行指纹识别,识别内容包括:服务类型、组件容器、脚本语言、CMS。漏洞检测引擎会根据用户指定的
任务规则进行定期或者一次性的漏洞检测,其支持2种插件类型、标示符与脚本,均可通过web控制台进行添加。 -
SRCMS:企业应急响应与缺陷管理系统 。
-
laravel-src:基于 Laravel 的开源安全应急响应中心平台。
-
DefectDojo:一个安全程序和漏洞管理工具。
-
Fuxi-Scanner:一款开源的网络安全检测工具,适用于中小型企业对企业信息系统进行安全巡航检测。
-
SeMF:企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块,可用于企业内部的安全管理。
网络漏洞
-
可以通过对端口直接进行远程扫描而发现的漏洞,如OpenSSH远程溢出漏洞、MySQL弱口令等。
-
常见的网络漏洞扫描软件有:Nessus、OpenVAS、Core Impact、Nexpose等
-
另外还有一些专项扫描工具,如:nmap、zmap、masscan
-
口令破解工具如:medusha、hydra、Ncrack
主机漏洞
-
主要是因为机器上安装Linux/Windows系统后不升级导致存在大量的可在本地利用的安全漏洞。
-
安全合规与漏洞评估软件有:OpenSCAP
-
CVE漏洞扫描的开源工具有:cvechecker、cve-checker-tool
-
针对Java组件库进行漏洞检查:OWASP Dependency-Check
-
针对Javascript和Node.js库进行漏洞检查:Retire.js
-
针对容器漏洞进行扫描:Anchore
网站漏洞
-
常见的网站漏洞扫描器有:AWVS、AppScan、WebInspect
-
常见的网站漏洞扫描器开源的有:Arachni
安全开发
-
rhizobia_J:JAVA安全SDK及编码规范。https://github.com/momosecurity/rhizobia_J
-
rhizobia_P:PHP安全SDK及编码规范。https://github.com/momosecurity/rhizobia_P
自动化代码审计
-
fortify:静态代码扫描工具。http://www.fortify.net/
![推荐一些优秀的甲方安全开源项目]( "推荐一些优秀的甲方安全开源项目")
![推荐一些优秀的甲方安全开源项目]( "推荐一些优秀的甲方安全开源项目")
-
RIPS:用于PHP脚本漏洞的静态源代码分析器。
http://rips-scanner.sourceforge.net/
-
OpenStack Bandit:基于Python AST的静态分析器,用来查找Python代码中存在的通用安全问题的工具。https://github.com/openstack/bandit/releases/
-
Cobra:一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。https://github.com/WhaleShark-Team/cobra
-
banruo:基于的fotify的自动化代码审计系统。https://github.com/yingshang/banruo
-
VCG:一种用于C++、C语言、VB、PHP、Java和PL/SQL的自动代码安全审查工具。
-
Find Security Bugs:用于Java Web应用程序的安全审计。
WAF
-
ngx_lua_waf:一个基于LUA-nginx的模块(openresty)的网络应用防火墙。https://github.com/loveshell/ngx_lua_waf
主要用途:
防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击
防止svn/备份之类文件泄漏
防止ApacheBench之类压力测试工具的攻击
屏蔽常见的扫描黑客工具,扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录php执行权限
防止webshell上传
-
OpenRASP:一款免费、开源的应用运行时自我保护产品。https://rasp.baidu.com/
RASP和WAF的区别
WAF,Web Application Firewall,应用防火墙。其原理是拦截原始http数据包,然后使用规则对数据包进行匹配扫描,如果没有规则匹配上那就放行数据包。正如一个门卫,如果他根据自己以往经验没看出要进入的人有疑点那么这个人就会被放行,至于进去的人在里面干什么他就不知道了。
RASP,Runtime application self-protection,运行时应用自我保护。Gartner公司2014年新提出的一个概念。其不是拦截数据包而是拦截将要执行的代码,对代码进行规则匹配如果没匹配上就放行代码。就好像在客厅、厨房、卧窒等每个地方都派一个管家监视,每个进到家里的要去什么地方做什么动作都在监视之下,一但发现某人要做出某些危险举动就会被阻止。拦截代码就类似hook,java通过重写ClassLoader等方法实现代码拦截。
我们经常听说免杀、绕WAF,其主要原理就是通过各种函数进行编码实现换脸来绕过WAF的匹配规则;而RASP审查的是最终要执行的代码,此时为了能够执行各种被编码的payload都将被还原成原始的payload,显然此时查杀漏报率和误报率都会更低。但同时也显然RASP比WAF做了更多的事情,这意味着RASP会比传统WAF要消耗更多的系统资源。
就Web Application Firewall这个词的字面意思而言RASP也属于WAF,可以认为RASP是深入到中间件内部的新型WAF。
-
ModSecurity:一个入侵侦测与防护引擎。http://www.modsecurity.org/
ModSecurity是一个免费、开源的Apache模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器。而OWASP是一个安全社区,开发和维护着一套免费的应用程序保护规则,这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。我们可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。
-
锦衣盾:基于openresty(nginx+lua)开发的下一代web应用防火墙。http://www.jxwaf.com/
-
x-waf:适用于中小企业的云waf 。
堡垒机
-
Jumpserver:全球首款完全开源的堡垒机,是符合4A的专业运维审计系统。https://github.com/jumpserver/jumpserver
-
teleport:一款简单易用的开源堡垒机系统,支持RDP/SSH/SFTP/Telnet 协议的远程连接和审计管理。https://tp4a.com/
-
CrazyEye:基于Python的开发的一款简单易用的IT审计堡垒机。https://github.com/triaquae/CrazyEye
-
gateone:一款使用HTML5技术编写的网页版SSH终端模拟器。https://github.com/liftoff/GateOne
-
麒麟堡垒机:开源版只支持一部分功能,剩下的功能需要购买。https://www.tosec.com.cn/
HIDS
-
OSSEC:一款开源的IDS检测系统,包括了日志分析、完整性检查、rook-kit检测,基于时间的警报和主动响应。https://www.ossec.net/
-
Wazuh:一个免费的,开源的企业级安全监控解决方案,用于威胁检测,完整性监控,事件响应和合规性。http://wazuh.com/
-
Suricata:一个免费的开源,成熟,快速和强大的网络威胁检测引擎。https://suricata-ids.org/
-
Snort:网络入侵检测和预防系统。https://www.snort.org/
-
Samhain Labs:用于集中式主机完整性监控的全面开源解决方案。https://www.la-samhna.de/
-
Firestorm:一种极高性能的网络入侵检测系统(NIDS)。http://www.scaramanga.co.uk/firestorm/
-
MozDef:Mozilla防御平台,一套实时集成化平台,能够实现监控、反应、协作并改进相关保护功能。https://github.com/mozilla/MozDef
-
驭龙HIDS:开源的主机入侵检测系统。https://github.com/ysrc/yulong-hids
-
AgentSmith-HIDS:轻量级的HIDS系统,低性能损失,使用LKM技术的HIDS工具。https://github.com/DianrongSecurity/AgentSmith-HIDS
-
Sobek-Hids:一个基于python的HostIDS系统。http://www.codeforge.cn/article/331327
-
Security Onion:免费开源网络安全监控系统。
-
OpenWIPS-ng:一款开源的模块化无线IPS(Intrusion Prevention System,入侵防御系统)。
-
Moloch: 网络流量收集与分析。
网络流量分析
-
Zeek:一个功能强大的网络分析框架。https://www.zeek.org/
-
Kismet:一种无线网络和设备检测器,嗅探器,驱动工具和WIDS(无线入侵检测)框架。https://www.kismetwireless.net/
企业云盘
-
KodExplorer:可道云,是基于Web技术的私有云在线文档管理解决方案。https://kodcloud.com/
-
Seafile:一款开源的企业云盘,注重可靠性和性能。https://www.seafile.com/home/
-
NextCloud:一款开源网络硬盘系统。https://nextcloud.com/
-
owncloud:一个基于Linux的开源云项目。https://owncloud.com/products/
-
iBarn:基于PHP的开源网盘。http://www.godeye.org/code/ibarn
-
Cloudreve:以最低的成本快速搭建公私兼备的网盘系统。http://cloudreve.org/
-
Filebrowser:一个基于GO的轻量级文件管理系统。https://github.com/filebrowser/filebrowser/releases/latest
-
FileRun:一款强大的多功能网盘和文件管理器。https://filerun.com/
-
kiftd:一款专门面向个人、团队和小型组织的私有网盘系统。https://github.com/KOHGYLW/kiftd
DLP
-
OpenDLP:一个免费的,开源的,基于代理和无代理的,集中管理,可大规模分发的数据丢失防护工具。https://code.google.com/archive/p/opendlp/
GitHub监控
-
GSIL:GitHub敏感信息泄漏工具。https://github.com/FeeiCN/GSIL
-
Hawkeye:监控github代码库,及时发现员工托管公司代码到GitHub行为并预警,降低代码泄露风险。https://github.com/0xbug/Hawkeye
-
Github-Monitor:用于监控Github代码仓库的系统。https://github.com/VKSRC/Github-Monitor
-
gshark:轻松有效地扫描Github中的敏感信息。https://github.com/neal1991/gshark
-
GitGuardian:实时扫描GitHub活动的解决方案。https://www.gitguardian.com/
钓鱼网站系统
-
HFish:一款基于 Golang 开发的跨平台多功能主动诱导型蜜罐框架系统。
-
mail_fishing:基于thinkphp写的一个内部钓鱼网站系统。
-
Gophish:开源钓鱼工具包。
-
BLACKEYE:开源钓鱼工具包。
-
phishing:甲方网络钓鱼的安全实践。
安全运维
-
Scout:URL 监控系统。
-
OpenDnsdb:开源的基于Python语言的DNS管理系统 。
-
cuckoo:一个自动化的动态恶意软件分析系统。
-
theZoo:一个恶意软件分析项目。
-
OpenDLP:一个免费的,开源的,基于代理和无代理的,集中管理,可大规模分发的数据丢失防护工具。
NAT安全
常见的网络流量中的攻击有:
-
1、协议隐患,如BGP协议攻击、CDP协议攻击、MAC地址欺骗、ARP缓存投毒、DHCP饥饿攻击等;
-
2、拒绝服务,如SYN Flood、UDP Flood、NTP反射攻击、SSDP反射攻击、DNS反射攻击等;
-
3、探测扫描,如IP扫描、端口扫描、漏洞扫描、病毒传播、挖矿传播、勒索软件传播、暴力破解等;
-
4、APT和C&C通信,如硬编码IP域名、DGA随机域名、DNS tunnel、加密流量分析等;
-
5、可解密的应用协议攻击,如HTTP攻击、SMTP攻击、MySQL攻击、SMB攻击等。
NTA安全产品:
-
商业的网络流量分析产品:Greycortex、RSA NetWitness Network、ProtectWise、Moloch等
-
开源的网络流量分析产品:Bro、Apache Spot、Stream4Flow、NetCap
-
开源的高性能负载均衡产品:Katran、DPVS
-
开源的网络入侵检测产品:Snort、Suricata
-
网络流量索引回溯分析:Moloch
GitHub监控
-
GSIL:GitHub敏感信息泄漏工具。
-
Hawkeye:监控github代码库,及时发现员工托管公司代码到GitHub行为并预警,降低代码泄露风险。
-
x-patrol:GitHub的泄露扫描系统--MiSecurity。
-
Github-Monitor:用于监控Github代码仓库的系统。
-
gshark:轻松有效地扫描Github中的敏感信息。
-
GitGuardian:实时扫描GitHub活动的解决方案。
蜜罐技术
-
T-Pot:多蜜罐平台,可视化分析。https://github.com/dtag-dev-sec/tpotce/
-
opencanary_web:蜜罐的网络管理平台。https://github.com/p1r06u3/opencanary_web
-
Honeyd:一个小型守护进程,可以在网络上创建虚拟主机。http://www.honeyd.org/
-
Glastopf:Python Web应用程序蜜罐。https://github.com/mushorg/glastopf
-
Cowrie:一种中等交互式SSH和Telnet蜜罐,用于记录暴力攻击和攻击者执行的shell交互。https://github.com/cowrie/cowrie
-
Kippo:一个中等交互式SSH蜜罐,用于记录暴力攻击,最重要的是,攻击者执行的整个shell交互。https://github.com/desaster/kippo
-
Dionaea:一个低交互的蜜罐,能够模拟FTP/HTTP/MSSQL/MYSQL/SMB等服务。https://github.com/DinoTools/dionaea
-
Conpot:一个ICS蜜罐,其目标是收集有关针对工业控制系统的敌人的动机和方法的情报。https://github.com/mushorg/conpot
-
Wordpot:一个Wordpress蜜罐,可以检测用于指纹wordpress安装的插件,主题,timthumb和其他常用文件的探针。https://github.com/gbrindisi/wordpot
-
Shockpot:一个Web应用程序蜜罐,旨在找到试图利用Bash远程代码漏洞的攻击者,CVE-2014-6271。https://github.com/threatstream/shockpot
数据库防火墙DBF
通过数据库防火墙可以拦截SQL注入攻击,对敏感数据脱敏,阻止高危数据删除操作,记录并发现违规行为等。提供了最后一层对SQL注入的安全防护能力。
-
基于代理模式的开源产品:DBShield、Acre
-
基于插件模式的开源产品:mysql-audit
风控系统
-
TH-Nebula:星云风控系统是一套互联网风控分析和检测平台。https://github.com/threathunterX/nebula
-
Liudao:六道”实时业务风控系统。https://github.com/ysrc/Liudao
-
陌陌风控系统:静态规则引擎,零基础简易便捷的配置多种复杂规则,实时高效管控用户异常行为。https://github.com/momosecurity/aswan
-
Drools:基于java的功能强大的开源规则引擎。https://www.drools.org/
SIEM/SOC
-
OSSIM:开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全,入侵检测和预防的工具。https://www.alienvault.com/products/ossim
OSSIM分布式安装实践:https://www.secpulse.com/archives/67514.html
Sensor可以理解为ossim 整个系统中的分布式的探针,负责收集和归一化处理数据,再发送给Server做关联和管理。功能上面Server多了一些模块和web界面的框架。但是有一点要注意,ossim server本身也是一个sensor,所以你是可以在web界面的Configuration->Deployment->SensorC的列表里看到server。
-
Apache Metron:一种网络安全应用程序框架,使组织能够检测网络异常并使组织能够快速响应已识别的异常情况。https://github.com/apache/metron
-
SIEMonster:以很小的成本监控整个网络。https://siemonster.com/
-
SeMF:企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块,可用于企业内部的安全管理。https://gitee.com/gy071089/SecurityManageFramwork
-
Prelude:一个结合了其他各种开源工具的SIEM框架。https://www.prelude-siem.org/
-
MozDef:Mozilla防御平台,一套实时集成化平台,能够实现监控、反应、协作并改进相关保护功能。https://github.com/jeffbryner/MozDef
Rootkit
Rootkit按作用阶段主要分为3种:应用层Rootkit、内核层Rootkit、引导启动型Bootkit(底层Rootkit后门)。这三种Rootkit的检测难度依次递增。
开源工具:
-
应用层的Rootkit检测:rkhunter、chkrootkit
-
离线内存Rootkit分析工具:Volatility
-
Rootkit进程隐藏检测:Linux Process Hunter
-
全面的Rootkit检测:Tyton、kjackal
主机后门
主机后门通常为一般性的远程控制应用层后门。这类后门比较多,且往往会和Rootkit技术结合使用。
工具:
-
Linux后门扫描工具:clamav
-
开源扫描脚本工具:malscan
-
开源主机后门检测工具:binaryalert
-
开源分布式扫描工具:klara
-
开源威胁情报响应和分析工具:rastrea2r
-
动态分析检测工具:cuckoo、sandbox
-
恶意软件企业级自动化分析框架:stoQ
webshell
webshell即专门的web后门,通常是通过脚本语言编写的,灵活性高且易变形。常见的webshell有PHP、ASP、ASP.NET、JSP、Python、Node.js这些类型的后门。
工具:
-
开源的PHP webshell检测工具:php-malware-finder
-
监控文件变动的工具:masc
-
开源的使用机器学习检测webshell的工具:MLCheckWebshell
-
在线webshell检测平台:百度的WEBDIR+
安全基线
配置安全问题在安全漏洞中占很大比例,涉及的范围包括网络、操作系统、各种应用服务器、数据库系统等。常见的安全基线包含默认安全配置和安全加固两部分。
工具:
-
安全基线模板网站:cisecurity
-
开源的合规软件:Lynis、inSpec
-
开源的持续审计和配置管理平台:Rudder
本文分享自微信公众号 - Bypass(Bypass--),作者:Bypass
参考链接:https://zhuanlan.zhihu.com/p/86682776
https://blog.csdn.net/wutianxu123/article/details/104416787
本文始发于微信公众号(LemonSec):推荐一些优秀的甲方安全开源项目
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论