timwhitez starred watchvuln

众所周知，CVE 漏洞库中 99% 以上的漏洞只是无现实意义的编号。我想集中精力看下当下需要关注的高价值漏洞有哪些，而不是被各类 RSS 和公众号的 ~~威胁情报~~ 淹没。于是写了这个小项目来抓取部分高质量的漏洞信息源然后做推送。 WatchVuln意为监测漏洞更新，同时也表示这些漏洞需要注意。

当前抓取了这几个站点的数据:

名称	地址	推送策略
阿里云漏洞库	https://avd.aliyun.com/high-risk/list	等级为高危或严重
OSCS开源安全情报预警	https://www.oscs1024.com/cm	等级为严重并且包含 `预警` 标签
奇安信威胁情报中心	https://ti.qianxin.com/vulnerability	等级为高危严重并且包含 `奇安信CERT验证` `POC公开` `技术细节公布`标签之一

如果有侵权，请提交 issue, 我会删除相关源。如果有更好的信息源也可以反馈给我，需要能够响应及时 & 有办法过滤出有价值的漏洞

具体来说，消息的推送有两种情况, 两种情况有内置去重，不会重复推送:

新建的漏洞符合推送策略，直接推送,
新建的漏洞不符合推送策略，但漏洞信息被更新后符合了推送策略，也会被推送

快速使用

支持下列推送方式:

使用 Docker

Docker 方式推荐使用环境变量来配置服务参数

环境变量名	说明	默认值
`DINGDING_ACCESS_TOKEN`	钉钉机器人 url 的 `access_token` 部分
`DINGDING_SECRET`	钉钉机器人的加签值（仅支持加签方式）
`LARK_ACCESS_TOKEN`	飞书机器人 url 的 `/open-apis/bot/v2/hook/` 后的部分
`LARK_SECRET`	飞书机器人的加签值（仅支持加签方式）
`WECHATWORK_KEY`	微信机器人 url 的 `key` 部分
`SERVERCHAN_KEY`	Server酱的 `SCKEY`
`WEBHOOK_URL`	自定义 webhook 服务的完整 url
`SOURCES`	启用哪些漏洞信息源，逗号分隔, 可选 `avd`, `ti`, `oscs`	`avd,ti,oscs`
`INTERVAL`	检查周期，支持秒 `60s`, 分钟 `10m`, 小时 `1h`, 最低 `1m`	`30m`
`ENABLE_CVE_FILTER`	启用 CVE 过滤，开启后多个数据源的统一 CVE 将只推送一次	`false`
`NO_FILTER`	禁用上述推送过滤策略，所有新发现的漏洞都会被推送	`false`
`NO_START_MESSAGE`	禁用服务启动的提示信息	`false`

比如使用钉钉机器人

docker run --restart always -d \
  -e DINGDING_ACCESS_TOKEN=xxxx \
  -e DINGDING_SECRET=xxxx \
  -e INTERVAL=30m \
  -e ENABLE_CVE_FILTER=true \
  zemal/watchvuln:latest

每次更新记得重新拉镜像:

docker pull zemal/watchvuln:latest

使用飞书机器人

docker run --restart always -d \
  -e LARK_ACCESS_TOKEN=xxxx \
  -e LARK_SECRET=xxxx \
  -e INTERVAL=30m \
  zemal/watchvuln:latest

使用企业微信机器人

docker run --restart always -d \
  -e WECHATWORK_KEY=xxxx \
  -e INTERVAL=30m \
  zemal/watchvuln:latest

使用自定义 Webhook 服务

通过自定义一个 webhook server，可以方便的接入其他服务, 实现方式可以参考: example

docker run --restart always -d \
  -e WEBHOOK_URL=http://xxx \
  -e INTERVAL=30m \
  zemal/watchvuln:latest

使用server酱机器人

docker run --restart always -d \
  -e SERVERCHAN_KEY=xxxx \
  -e INTERVAL=30m \
  zemal/watchvuln:latest

使用多种服务

如果配置了多种服务的密钥，那么每个服务都会生效，比如使用钉钉和企业微信:

docker run --restart always -d \
  -e DINGDING_ACCESS_TOKEN=xxxx \
  -e DINGDING_SECRET=xxxx \
  -e WECHATWORK_KEY=xxxx \
  -e INTERVAL=30m \
  zemal/watchvuln:latest

初次运行会在本地建立全量数据库，大约需要 1~5 分钟，可以使用 docker logs -f [containerId] 来查看进度, 完成后会在群内收到一个提示消息，表示服务已经在正常运行了。

使用二进制

前往 Release 下载对应平台的二进制，然后在命令行执行。

USAGE:
   watchvuln [global options] command [command options] [arguments...]

VERSION:
   v0.4.0

COMMANDS:
   help, h  Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --debug, -d                                set log level to debug, print more details (default: false)
   --sources value, -s value                  set vuln sources (default: "avd,ti,oscs")
   --interval value, -i value                 checking every [interval], supported format like 30s, 30m, 1h (default: "30m")
   --dingding-access-token value, --dt value  webhook access token of dingding bot
   --dingding-sign-secret value, --ds value   sign secret of dingding bot
   --wechatwork-key value, --wk value         webhook key of wechat work
   --lark-access-token value, --lt value      webhook access token of lark
   --lark-sign-secret value, --ls value       sign secret of lark
   --webhook-url value, --webhook value       your webhook server url, ex: http://127.0.0.1:1111/webhook
   --serverchan-key value, --sk value         send key for server chan
   --enable-cve-filter                        enable a filter that vulns from multiple sources with same cve id will be sent only once (default: false)
   --no-start-message, --nm                   disable the hello message when server starts (default: false)
   --no-filter, --nf                          ignore the valuable filter and push all discovered vulns (default: false)
   --help, -h                                 show help
   --version, -v                              print the version

在参数中指定相关 Token 即可, 比如使用钉钉机器人

$ ./watchvuln --dt DINGDING_ACCESS_TOKEN --ds DINGDING_SECRET -i 30m