之前护网又被甲方爸爸连环夺命call了——十几个安全工具的数据报表散落在不同系统里,漏洞优先级全靠Excel人工排序,红队那帮人还专挑凌晨三点搞供应链攻击。我瘫在工位上刷Github,突然被一个叫Faraday的开源玩意儿戳中痛点。
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
资产测绘的指纹库得玩出花,上次护网用设备特征码定位被黑打印机,比传统扫描准十倍
-
协议混淆要会拆弹式攻击,把SQL注入拆成JS探针、请求头密令、图片隐写三件套,专治规则库膨胀的WAF。
-
社会工程学模块得懂邮件安全的三重门,SPF/DKIM配置弱点加零日PDF,钓鱼成功率直接拉满九成
-
流量塑形得学视频监控的心跳节奏,RTP流伪装配合500ms精准节流,防守组看SIEM跟看监控回放似的。
-
在面对合规自动化要会钻标准空子,生成报告时得把PCI-DSS条款倒背如流,让甲方吃瘪还得夸你专业。这些玩意儿说穿了就是攻击队和防守组在甲方预算和认知天花板底下跳探戈,工具再骚也干不过防守方凌晨三点怒肝WAF规则的手速。
下载链接
https://github.com/infobyte/faraday
原文始发于微信公众号(白帽学子):Faraday【开源漏洞管理工具】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论