404实验室星链计划改版&新项目加入
source link: https://paper.seebug.org/1765/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
404实验室星链计划改版&新项目加入
1小时之前2021年11月24日安全工具&安全开发 · 404专栏
「404星链计划」是知道创宇404实验室于2020年8月提出的开源项目收集计划,这个计划的初衷是将404实验室内部一些工具通过开源的方式发挥其更大的价值,也就是“404星链计划1.0”,这里面有为大家熟知的Pocsuite3、ksubdomain等等,很快我们就收到了许多不错的反馈。2020年11月,我们将目光投向了整个安全圈,以星链计划成员为核心,筛选优质、有意义、有趣、坚持维护的开源安全项目,为立足于不同安全领域的安全研究人员指明方向,也就是“404星链计划2.0”。
为了更清晰地展示和管理星链计划的开源项目,今天我们将1.0和2.0整合,推出改版后的「404星链计划」。
计算机开源社区是开放且庞杂的,当然安全也是如此;我们希望404星链计划能够提供一个安全开源项目的交流平台,为项目提供技术支持和奖品激励、进行公开推荐,让更多更优质的项目成为大家的“神兵利器”,以此来促进安全开源社区的发展。就像一颗颗大大小小的星星,本是独自寂寞美丽,但当它们汇在一起,就能聚成一道闪耀璀璨的星河,绽放不可磨灭的力量。
Github地址: https://github.com/knownsec/404StarLink
01 多维度的项目展示
新的页面采用板块的方式,你可以更快速的找到感兴趣的项目,获取项目动态和榜单等等:
- 新项目加入板块
- 项目活跃度板块(发布更新/发布paper/发布视频等)
- Github star rank 板块
- 项目版本更新板块
- 分类板块(甲方工具/信息收集/漏洞探测/攻击与利用/信息分析/后渗透阶段等
- 专栏(Kcon2021 兵器谱/2021 年度项目等)
同时,我们改进了评分机制,使用榜单对项目进行排名和展示。以项目更新频率、发表相关文章视频、Github Star、用户使用量等多维度描述和展示项目质量。
02 更清晰的加入方式
如果你的安全开源项目有意加入404星链计划,请在星链计划 Github 主页的 issue (https://github.com/knownsec/404StarLink/issues)提交项目申请,提交格式如下:
- 项目名称:
- 项目链接:
- 项目简介:
- 项目特点、亮点:
我们将在1-2周的时间内对申请加入的项目进行审核,审核的基础规范包括:
- README.md (包括但不限于:项目简介、运行环境搭建、运行示例等)
- CHANGELOG (便于记录项目更新)
- LICENCE (为避免开源纠纷,需要提前选择开源协议)
- 编译型项目提供 release 版本
- 项目需要和安全相关
- 必须是完整的开源项目(不能只是二进制,或部分开源)
另外星链评审组还将根据项目场景、功能和源码进行分析,其中评审项包括但不限于:
- 项目具有一定的实用价值
- 项目完整开源
- 项目源码内不包含恶意代码
- 项目可以正常部署和使用
项目审核通过后,我们将发送邀请函邮件,项目正式加入404星链计划。
03 项目维护与激励
项目加入星链计划之后,社群用户可以更方便快捷地获取项目动态和反馈问题,开发者也可以不断根据用户反馈来优化和迭代项目。
我们将继续每周获取项目更新,并在星链计划社群、404官方账号进行推广;项目的相关文档、演示视频也将发布在Seebug Paper、公众号、404实验室B站等平台,为项目增加曝光机会。
同时,为了更好的管理星链计划中项目的生命周期,促进开源项目的发展,我们设置了「里程碑」,开发者可以通过不断维护项目,来达成相关的里程碑获取对应的周边礼品。
当然!我们依旧会为开发者提供知道创宇内推通道、每年优先推荐KCon兵器谱,以及不定期的礼品关怀。
本届KCon 2021兵器谱展示中,有8个项目来自404星链计划:
04 本期新项目
本期收录了4个优秀的项目:
kunyu
项目链接: https://github.com/knownsec/Kunyu
项目简介: Kunyu(坤舆),是一款基于ZoomEye API开发的信息收集工具,旨在让企业资产收集更高效,使更多的安全从业者了解、使用网络空间资源测绘技术。
项目特点、亮点: 开箱即用的命令行网络空间测绘工具
ysomap
项目链接: https://github.com/wh1t3p1g/ysomap
项目简介: Ysomap is A helpful Java Deserialization exploit framework based on ysoserial
项目特点、亮点: 面对如今多样化的目标环境,ysoserial等工具所具备的攻击能力、攻击效果都无法满足实际利用。
ysomap采用了组件化的思路,以多种实现效果装配各类反序列化利用链的生成。当前,以完成了11种exploits,22种payloads(不包含学习用的gadget),25种bullets。覆盖了cc系列、rmi/ldap/jndi系列、xstream等组件或exp。
MySQL_Fake_Server
项目链接: https://github.com/fnmsd/MySQL_Fake_Server
项目简介: 用于渗透测试过程中的假MySQL服务器,纯原生python3实现,不依赖其它包。
项目特点、亮点: 纯原生Python实现,无其它依赖包,有Python3就能用。 支持目前所有场景下的MySQL JDBC Connector反序列化利用。 支持MySQL客户端大文件的完整读取(包括二进制文件)。 最新版本增加了未知用户名登录时,随机读取预置的文件路径,可以当做蜜罐使用。
BurpCrypto
项目链接: https://github.com/whwlsfb/BurpCrypto
项目简介: 支持多种加密算法或直接执行JS代码的用于爆破前端加密的BurpSuite插件。
项目特点、亮点: 集成AES、DES、RSA和大部分对应的加密模式与填充算法。支持多种密钥输入与密文输出格式(UTF8String、HEX、Base64)。支持直接执行JS代码,在部分BurpSuite版本中支持语法高亮编辑器,支持多种JS执行引擎(Jre内置、HtmlUnit、Rhino,目前默认使用Rhino)。内置密文/明文本地持久化KV数据库,通过该插件输出的密文内容可轻松查询出明文。
05 404星链计划社群
加入404星链计划社群,请扫码识别运营菜菜子二维码,添加时备注“星链计划”。
群内欢迎讨论星链计划的各个安全工具,以及网络安全方面资讯、技术等等,欢迎踊跃提问、解答、互帮互助。同时群内开放【帮转正规招聘信息、优秀技术文章、寻求开发伙伴等内容】,请先联系运营菜菜子审核,由菜菜子安排推送到星链各个群中。
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1765/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK