Security Copilot
为什么称之为 Security Copilot,按照我的构想,这不仅仅是一个漏洞扫描器,还是一个集大成的辅助工具。
挂上扫描器后,过一遍网站,即使没有漏洞,也要告诉我这个网站的大致信息(指纹、cdn、端口信息、敏感信息、API 路径、子域名等等),这样帮助人工进行进一步的梳理,辅助挖洞,而不是扫描完毕没洞就是完事了,还要人工重新过一遍。
通过主动或者被动收集过来的流量插件内部会判断是否扫描过 (TODO 扫描插件是否要按某个顺序执行?)
信息收集
- 网站指纹信息
- 每个网站请求的 url 收集聚合展示
- 网站域名信息: cdn/waf/cloud、解析记录
- Jwt 自动爆破 (todo 根据域名自动生成字典)
- 敏感信息
- 主动的路径扫描(bbscan 规则 ,新增了一个指纹字段,存在指纹时只会扫描对应的规则,比如 对 php 网站就不会扫描 springboot 的规则)
- 端口信息
- 收集域名、ip、api
插件
有的扫描会对比收集的指纹信息进行语言环境识别,防止对 php 的网站调用 java 的扫描插
扫描目录结构
scan目录为扫描插件库,每个目录的插件会处理不同情形
- PerFile 针对每个url,包括参数啥的
- PerFolder 针对url的目录,会分隔目录分别访问
- PerServer 对每个domain 的,也就是说一个目标只扫描一次
| 插件 | 介绍 | 默认是否开启 | 作用域 |
|---|---|---|---|
| xss | 语义分析、原型链污染、dom 污染点传播分析 | true | PerFile |
| sql | 目前只实现一些简单的SQL注入检测 | true | PerFile |
| sqlmap | 通过指定 sqlmap API 将流量转发到 sqlmap 进行注入检测 | false | PerFile |
| ssrf | true | PerFile | |
| jsonp | true | PerFile | |
| cmd | 命令执行 | true | PerFile |
| xxe | true | PerFile | |
| fastjson | 当检测到请求为 json 时,缝合了@a1phaboy师傅的FastjsonScan扫描器,探测 fastjson; jackson 暂未实现 | true | PerFile |
| bypass403 | dontgo403 403 绕过检测 | true | PerFile |
| crlf | crlf注入 | true | PerFolder |
| iis | iis高版本短文件名猜解[iis7.5-10.x-ShortNameFuzz]( | false | PerFolder |
| nginx-alias-traversal | Nginx 配置错误导致的目录遍历nginx | true | PerFolder |
| log4j | log4j 漏洞检测,目前只会测试请求头 | true | PerFolder |
| bbscan | bbscan 规则 目录扫描 | true | PerFolder PerServer(这个针对规则中指定了根目录的) |
| portScan | 使用 naabu 扫描 Top 1000 端口,然后使用 fingerprintx 识别服务 | false | PerServer |
| brute | 如果开启服务爆破,会在扫描到端口服务后进行服务爆破 | PerServer | |
| nuclei | 集成nuclei | false | PerServer |
| archive | 利用 https://web.archive.org/ 进行获取历史 url 链接(参数),然后进行扫描 | true | PerServer |
| poc | go 写的 poc 模块检测, poc 模块依托于指纹识别,只有识别到对应的指纹才会扫描,没有插件化了 | false | PerServer |
添加多个用户 cookie 进行越权检测(感觉还是 burp 插件自己写测试比较好,这里应该没有必要写
原文始发于微信公众号(夜组安全):一款全面而强大的漏洞扫描和利用工具。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论