以攻击者的视角来审视企业互联网资产可能存在的漏洞或其它可被攻击的可能性,这是一项极其重要的工作。今天分享几款开源的企业攻击面分析工具,可帮助甲方安全团队对攻击面进行梳理和检测。
01、Goby - Attack surface mapping
Goby是新一代的网络安全评估工具,它能够为企业梳理出最完整的攻击面信息,同时可以根据暴露在外网的漏洞快速渗透到企业内网。
官网地址:
https://gobies.org/
02、ARL - 资产安全灯塔
快速发现并整理企业外网资产,构建资产信息库,协助甲方安全团队或者渗透测试人员快速找到企业资产中的薄弱点和攻击面。
github项目地址:
https://github.com/TophantTechnology/ARL
03、linglong - 资产巡航扫描系统
系统定位是通过masscan+nmap无限循环去发现新增资产,自动进行端口弱口令爆破、指纹识别、XrayPoc扫描。
github项目地址:
https://github.com/awake1t/linglong
04、SEC-分布式资产安全扫描
SEC可用于企业对服务器资源安全进行扫描排查,可控性强、可停止运行中的扫描任务、支持分布式多节点部署,更快的扫描进度 + 节点执行信息动态反馈,快速定位漏洞。
github项目地址:
https://github.com/smallcham/sec-admin
05、w12scan - 网络安全资产扫描引擎
通过WEB接口下发任务,w12scan会自动将相关的资产聚合在一起方便分析使用。
github项目地址:
https://github.com/w-digital-scanner/w12scan
本文作者:Bypass007
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/177632.html