关于星链计划

「404星链计划」是知道创宇404实验室于2020年8月提出的开源项目收集计划,这个计划的初衷是将404实验室内部一些工具通过开源的方式发挥其更大的价值,也就是“404星链计划1.0”,这里面有为大家熟知的Pocsuite3、ksubdomain等等,很快我们就收到了许多不错的反馈。2020年11月,我们将目光投向了整个安全圈,以星链计划成员为核心,筛选优质、有意义、有趣、坚持维护的开源安全项目,为立足于不同安全领域的安全研究人员指明方向,也就是“404星链计划2.0”。为了更清晰地展示和管理星链计划的开源项目,2022年11月22日我们将1.0和2.0整合,推出改版后的「404星链计划」。

Github地址:https://github.com/knownsec/404StarLink

新项目发布

01 Antenna

项目链接:https://github.com/wuba/Antenna

项目简介:

Antenna是58同城安全团队打造的一款辅助安全从业人员辅助验证网络中多种漏洞是否存在以及可利用性的工具。其基于带外应用安全测试( OAST)通过任务的形式,将不同漏洞场景检测能力通过插件的形式进行集合,通过与目标进行Out-of-bind的数据通信方式进行辅助检测。

项目特点、亮点:

  • 基础版支持HTTP/DNS/RMI/LADP等协议请求监听组件
  • 支持XSS\XXE\JSONP\SSRF以及自定义http返回资源等漏洞场景利用组件
  • 良好的用户体验,支持平台多用户认证体系,支持团队协同使用
  • 良好的隐匿性,包括但不限于自定义隐藏系统登录地址,以及提供隐匿性部署教程
  • 强大的自定义组件,支持自定义开发组件,允许用户根据场景需求开发适合自己的平台组件
  • 自定义消息通知接口,除常规的邮件通知以及OPENApi接口外,允许用户自定义消息通知接口,支持与自动化扫描工具进行能力打通

02 murphysec

项目链接:https://github.com/murphysecurity/murphysec

项目简介:

  • 专业的软件成分分析(SCA)

  • 许可证合规评估

  • 代码漏洞检测

  • 全准快的漏洞知识库

项目特点、亮点:

  • 低成本接入开发流程:可以快速集成到 DevOps 的各个流程中

  • 项目依赖信息分析:支持分析项目使用的依赖信息,包含直接依赖和间接依赖

  • 支持语言丰富:Java、Javascript、Golang、Python等

03 appshark

项目链接:https://github.com/bytedance/appshark

项目简介:

appshark是字节内部孵化的专门针对安卓的安全隐私合规扫描引擎。在项目上马伊始,无恒实验室对业内自动化 App 漏洞检测工具进行了充分调研,最终发现这些工具或因为漏报、误报率太高导致需要消耗大量人力对扫描结果进行确认,或因为不开放源码导致无法根据特定的扫描需求进行定制化开发。为了能更好的实现高质量漏洞及隐私合规检测,无恒实验室自主研发了 appshark 引擎,用于漏洞及隐私合规风险的自动化检测。无恒实验室选择将这个引擎开源,成为一个公共的工具,希望吸引更多业界专家参与打磨,为企业及白帽子做 App 风险检测提供便利。

项目特点、亮点:

  • 完整的指针分析,指针分析代价昂贵,但是这也保证了appshark整体结果可以有较高的准确率。

  • 灵活的规则,灵活的source, sink, santizer,甚至有规则内的tainttweak,让结果更准确。

  • 强大的配置选项,既可以通过参数配置,也可以通过引擎配置,对引擎进行定制,在时间、空间和结果准确性之间做出平衡。

  • 完整详细的数据流,结果中有详细的数据流,让你清晰的看出污点是如何一步一步从source 传播到sink。

加入我们

如果你的安全开源项目有意加入404星链计划,请在星链计划 Github 主页的 issue 提交项目申请:https://github.com/knownsec/404StarLink/issues

提交格式如下:
项目名称:
项目链接:
项目简介:
项目特点、亮点:

项目审核通过后,我们将发送邀请函邮件,项目正式加入404星链计划。

星际奇兵

404星链计划开源工具视频演示栏目【星际奇兵】第二期来了,跟我们一起快速上手这些优秀的安全工具吧!

视频链接:https://www.bilibili.com/video/BV1eU4y1z7si/
第二期演示项目:HackBrowserData
项目作者:moonD4rk
项目地址:https://github.com/moonD4rk/HackBrowserData
404星链计划地址:https://github.com/knownsec/404StarLink

关注我们B站(知道创宇404实验室),第一时间获取演示视频~

想要学习和交流开源安全工具的朋友可以加入404星链计划社群,请扫码识别运营菜菜子微信二维码,添加时备注“星链计划”。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1974/