工欲善其事,必先利其器。对于广大的网络安全从业者,以及未来想要从事网络安全的人来说,选择并善用合适的网络安全工具,能有效提升工作效率。
开源网络安全工具之所以能够在众多安全解决方案中脱颖而出,不仅是因为它们具备强大的功能和高效的性能,更因为它们的开放性和可扩展性,使得用户可以根据自身的需求进行定制和优化。同时,这些工具背后有着庞大的开发者社区,他们不断贡献代码、修复漏洞、更新功能,为工具的持续发展和完善提供了源源不断的动力。
在本文中,我们盘点了近年来发布的十个能大幅提高工作效率的优秀开源安全工具,覆盖数字取证、云威胁检测、渗透测试、漏洞扫描、开源代码审核、应用安全评估等多个领域:
*内容综合自网络
Adalanche是一款专为Active Directory(AD)环境设计的开源安全分析工具,能够通过直观的可视化界面帮助安全团队快速识别和管理AD中的权限和访问控制列表(ACL)。通过Adalanche,用户能够轻松理解用户和组在AD中的权限分布,识别潜在的配置错误和接管风险,从而加强组织的整体安全性。
Adalanche的核心功能包括:
与其他类似工具相比,Adalanche在易用性和部署灵活性方面具有显著优势。它通过go语言开发,拥有出色的性能和稳定性,能够满足各种规模组织的安全分析需求。
下载地址:https://github.com/lkarlslund/adalanche
Nemesis是一个集中式数据处理平台,可摄取、富化攻击性安全评估数据(即渗透测试和红队参与期间收集的数据)并对其进行分析。
Nemesis可以收集来自各种来源的攻击性数据,包括渗透测试中的网络流量、日志、用户行为等。同时,Nemesis还可以利用各种工具和技术对收集到的数据进行进一步的处理和富化,提取出更多的信息。
Nemesis平台提供了强大的数据分析功能,帮助用户识别出潜在的安全威胁、漏洞和攻击模式。通过内置的各种工具和连接器,Nemesis可以对原始数据进行深度处理,提取出更多的上下文信息,如IP地址的地理位置、域名的注册信息、用户行为的模式等。基于分析结果,Nemesis可以自动生成详细的报告,包括威胁评估、漏洞列表、攻击路径等,便于用户向管理层或客户展示结果。
在渗透测试过程中,Nemesis可以帮助测试人员快速收集和分析攻击性数据,发现潜在的安全漏洞和威胁。Nemesis可以作为威胁情报平台的一部分,用于收集和分析来自各种来源的威胁情报数据,为企业的安全防护提供有力支持。
安全研究:对于安全研究人员来说,Nemesis是一个强大的工具,可以帮助他们深入研究各种攻击技术和手段,提高安全防护能力。
下载地址:https://github.com/SpecterOps/Nemesis
Mosint是一款用Go编写的自动化电子邮件OSINT工具,旨在促进对目标电子邮件的快速高效调查。它集成了多种服务,使安全研究人员能够快速访问广泛的信息。
Mosint与其他工具的最重要区别在于它的速度和集成度。它从多个服务Mosint与其他工具相比,最大的优势在于其速度和集成度。它能从多个服务异步提取数据,使得操作更加高效。异步提取数据,并且使用简单。
并且具有以下多种功能:
Mosint提供了用户友好的基于Web的界面,用户也可以选择完全通过命令行进行操作。无论是在安全领域还是在个人使用中,Mosint都能帮助用户更轻松地获取和分析电子邮件地址的相关信息,从而提高安全性和决策准确性。
下载地址:https://github.com/alpkeskin/mosint
AuthLogParser是一款专为数字取证和事件响应而定制的开源工具,其主要功能是分析Linux身份验证日志(auth.log)。这款工具在网络安全和系统管理中发挥着重要作用,特别是在面对潜在的安全威胁或系统故障时,它能够帮助管理员和安全专家快速定位问题、提取关键信息,从而做出准确的响应。
AuthLogParser能够深入解析Linux身份验证日志(auth.log),提取关键详细信息,如SSH登录、用户创建、事件名称、IP地址等。这些信息对于理解系统活动、识别潜在威胁或故障至关重要。
AuthLogParser提供了直观的命令行界面和丰富的文档支持,用户无需具备深厚的编程知识即可轻松上手。此外,它还支持多种操作系统平台,确保了广泛的兼容性。
AuthLogParser支持多种输出格式,如文本、CSV、JSON等,方便用户将分析结果集成到其他系统或工具中,进行进一步的分析或报告。
AuthLogParser作为一款数字取证和事件响应的开源工具,具有强大的日志分析能力和灵活的自定义选项。它可以帮助管理员和安全专家快速定位问题、提取关键信息,从而做出准确的响应。无论是在安全审计、事件响应还是合规性检查方面,AuthLogParser都能发挥重要作用。
下载地址:https://github.com/YosfanEilay/AuthLogParser
CloudGrappler是一款由Permiso团队打造的开源云安全工具,能够基于现代云威胁参与者的策略、技术和程序(TTP)(如LUCR-3)提供增强的检测功能,它利用高效的日志查询机制,通过命令行接口(CLI)与数据源进行交互,确保在各种环境下都能稳定运行,能够帮助安全管理团队更加轻松地应对云环境中的安全挑战。
通过CloudGrappler,用户可以迅速识别并应对可能的攻击活动,从而保护云基础设施免受恶意威胁。
CloudGrappler不仅支持AWS和Azure等主流云平台,还具备良好的可扩展性,可以根据不同需求定制和扩展检测范围。
除了基本的威胁检测外,CloudGrappler还提供了一系列辅助功能,如日志分析、事件追踪等,帮助用户更全面地了解云环境中的安全状况。
CloudGrappler的技术实现基于Python语言,并利用了多种开源库和框架。其依赖于requirements.txt中列出的包,这些包提供了必要的功能和稳定性支持。此外,CloudGrappler还通过命令行接口(CLI)与数据源进行交互,使得用户可以方便地配置和管理工具。
下载地址:https://github.com/Permiso-io-tools/CloudGrappler
CVE Prioritizer集成了CVSS、EPSS和CISA KEV的数据,其中CVSS提供漏洞特征相关信息,而EPSS提供漏洞被利用的风险信息。
继而CVE Prioritizer能够根据漏洞被利用的可能性和漏洞危害程度来判断漏洞修复的优先级,提供全面且深入的视角帮助用户识别最有可能被攻击者利用的漏洞。
安全团队可以根据所在单位的风险承受能力,灵活调整工具输出,适应不同的安全需求,实现决策最优化。
CVE Prioritizer提供了一个易于使用的命令行界面,用户只需获取NIST NVD API密钥并将其添加到配置文件中,然后提供单个或多个CVE标识符,或者从文件导入,即可根据需要选择详细输出、自定义阈值等选项。
在网络安全领域,面对大量漏洞时,有效管理和优先处理至关重要。CVE Prioritizer通过提供基于数据驱动的方法,帮助安全团队精细化地排列修复工作的优先级,从而确保重要漏洞得到及时处理,降低潜在的安全风险。
下载地址:https://github.com/TURROKS/CVE_Prioritizer
Prowler是一款开源云安全工具,用于评估、审核和增强AWS、GCP和Azure的安全性。它还配备了事件响应、持续监控、强化和取证准备。
它遵循CIS Amazon Web Services Foundations Benchmark(49项检查)的指导方针,并包含超过240个安全控件,涵盖CI、PCI-DSS、ISO27001、GDPR、HIPAA、FFIEC、SOC2等多种合规和安全标准。
Prowler支持AWS多个区域和大多数AWS服务的安全最佳实践,包括但不限于Identity and Access Management、Logging、Monitoring、Networking等。
Prowler不仅提供了基础的安全检查,还支持自定义检查,以适应不同组织的安全需求。
Prowler是用bash编写的,并依赖于AWS-CLI、jq和detect-secrets等工具。它可以在Linux、Mac OS或Windows的cygwin环境中运行。
值得注意的是,Prowler是专门为AWS云环境设计的,因此不支持其他云环境(如GCP、Azure等)。同时,安装Prowler时需要确保已经安装了最新版本的AWS-CLI,并需要根据官方文档持续更新以应对新的安全威胁和AWS服务的变化。
并且在使用Prowler进行安全评估时,需要确保有足够的权限来访问AWS资源,并遵循最佳实践以保护敏感信息。
下载地址:https://github.com/prowler-cloud/prowler
SiCat是一款用于漏洞利用研究的开源工具,能从开放渠道和内部数据库中获取和编译有关漏洞利用的信息。其主要目的是协助网络安全,使用户能够在互联网上搜索潜在的漏洞和相应的漏洞利用。
SiCat由Akas Wisnu Aji开发,可通过公共渠道和内部数据库搜索漏洞利用信息,从而简化了在互联网上搜索潜在漏洞及其相应利用的过程。
同时,SiCat支持从多个数据库和来源搜索漏洞利用信息,包括Exploit-DB、Exploit Alert、Packetstorm Security、NVD数据库和Metasploit模块等,确保提供的信息广泛且最新。
SiCat还具有先进的报告系统,能够以HTML和JSON格式提供漏洞搜索结果,便于用户管理和分析潜在的发现。
SiCat可基于XML格式的Nmap扫描结果启动,进一步扩展了其功能和应用范围。
此外,SiCat的适用网络安全场景也很多,如日常的安全审计、紧急响应疑似入侵事件等。通过关键词搜索或直接分析Nmap扫描报告,SiCat都能精准地列出相关漏洞利用详情,帮助团队制定防御策略。例如,针对Telerik组件的特定版本,SiCat可以跨ExploitDB和Metasploit模块查找对应的漏洞利用方式,大大提高了安全检查的效率。更重要的是SiCat具有简单明了的代码结构,即使是新手也可以轻松上手。
下载地址:https://github.com/justakazh/sicat
Malwoverview是一款专注于恶意软件分析和威胁狩猎的开源工具,可用于恶意软件样本、URL、IP地址、域、恶意软件系列、I0C和哈希的初始和快速评估。
Malwoverview对恶意软件样本的初始和快速评估功能包括动态和静态行为报告的生成。它允许用户从各种端点提交和下载样本,以便进行进一步的分析。
同时,Malwoverview集成了来自多个威胁情报源的信息,如Virus Total、Hybrid Analysis、URLHaus、Polyswarm、Malshare等。这使得用户能够获取关于恶意软件样本的广泛情报,从而更全面地了解威胁。
Malwoverview还能够根据导入表(impash)确定相似的可执行恶意软件样本(PE/PE+),并按不同颜色对它们进行分组。这有助于用户快速识别相关的恶意软件家族或变种。
此外,该工具显示与多个威胁情报引擎相关的哈希信息,包括Virus Total、Hybrid Analysis、Malshare、Polyswarm、URLhaus等。这使得用户能够轻松识别样本是否已被其他情报源标记为恶意。
Malwoverview允许用户检查Virus Total、Hybrid Analysis和PolySwarm上的可疑文件,以获取更深入的威胁情报,并提供生成动态和静态行为报告,以及从各种端点提交和下载样本的功能。
下载地址:https://github.com/alexandreborges/malwoverview
WebCopilot是一种开源自动化工具,它可以枚举目标的子域名并使用各种免费工具发现错误。不仅简化了应用程序安全工作流程还从一定程度上减少了人们对手动脚本的依赖。
通过利用gobuster、httpx等工具,WebCopilot可在深度探测后识别出潜在的XSS、SQL注入、开放重定向、LFI、SSRF和RCE等安全漏洞参数。
WebCopilot的工作流程高度集成化,它通过DNS记录查询和爬网等方式收集和验证子域,继而提取子域名的标题甚至截图进行视觉检查。
在实际使用时,研究人员可以直接通过Git命令将WebCopilot的源码克隆至本地,然后在项目目录下为工具安装脚本提供可执行权限,并以root权限进行安装。安装完成后,用户可以通过命令行界面使用WebCopilot进行子域名枚举和漏洞扫描等操作。
WebCopilot作为一款开源自动化工具,在网络安全领域发挥着重要作用。它不仅能够快速枚举目标域名的所有子域名,还能通过深度探测和扫描识别出潜在的安全漏洞,为网络安全研究人员提供了有力的支持。同时,其高度集成的自动化流程和广泛集成的开源工具也确保了其功能的全面性和准确性。
地址:https://github.com/h4r5h1t/webcopilot
参考资料:
https://www.secrss.com/articles/64706
https://blog.51cto.com/lihuailong/9283277