「404星链计划」是知道创宇404实验室于2020年8月提出的开源项目收集计划,这个计划的初衷是将404实验室内部一些工具通过开源的方式发挥其更大的价值,也就是“404星链计划1.0”,这里面有为大家熟知的Pocsuite3、ksubdomain等等,很快我们就收到了许多不错的反馈。2020年11月,我们将目光投向了整个安全圈,以星链计划成员为核心,筛选优质、有意义、有趣、坚持维护的开源安全项目,为立足于不同安全领域的安全研究人员指明方向,也就是“404星链计划2.0”。为了更清晰地展示和管理星链计划的开源项目,2021年11月22日我们将1.0和2.0整合,推出改版后的「404星链计划」。
上一期我们收录了4个优秀项目,分别是:
CF、Cloud-Bucket-Leak-Detection-Tools、Cola Dnslog、Hades(详情请点击:大动作!好多优秀新项目都来加入我们了~)
这不,刚发完新项目没多久,我们又收到了不少优质项目投递,所以我们又快马加鞭地更新了!这一期,我们带来了3个安全团队的项目:来自58同城安全团队的Antenna、来自墨菲安全的murphysec和来自字节跳动安全团队的appshark。一起来看看吧!
基础版支持HTTP/DNS/RMI/LADP等协议请求监听组件
支持XSS\XXE\JSONP\SSRF以及自定义http返回资源等漏洞场景利用组件 良好的用户体验,支持平台多用户认证体系,支持团队协同使用 良好的隐匿性,包括但不限于自定义隐藏系统登录地址,以及提供隐匿性部署教程 强大的自定义组件,支持自定义开发组件,允许用户根据场景需求开发适合自己的平台组件 自定义消息通知接口,除常规的邮件通知以及OPENApi接口外,允许用户自定义消息通知接口,支持与自动化扫描工具进行能力打通
专业的软件成分分析(SCA)
许可证合规评估
代码漏洞检测
全准快的漏洞知识库
低成本接入开发流程:可以快速集成到 DevOps 的各个流程中
项目依赖信息分析:支持分析项目使用的依赖信息,包含直接依赖和间接依赖
支持语言丰富:Java、Javascript、Golang、Python等
appshark是字节内部孵化的专门针对安卓的安全隐私合规扫描引擎。在项目上马伊始,无恒实验室对业内自动化 App 漏洞检测工具进行了充分调研,最终发现这些工具或因为漏报、误报率太高导致需要消耗大量人力对扫描结果进行确认,或因为不开放源码导致无法根据特定的扫描需求进行定制化开发。为了能更好的实现高质量漏洞及隐私合规检测,无恒实验室自主研发了 appshark 引擎,用于漏洞及隐私合规风险的自动化检测。无恒实验室选择将这个引擎开源,成为一个公共的工具,希望吸引更多业界专家参与打磨,为企业及白帽子做 App 风险检测提供便利。
完整的指针分析,指针分析代价昂贵,但是这也保证了appshark整体结果可以有较高的准确率。
灵活的规则,灵活的source, sink, santizer,甚至有规则内的tainttweak,让结果更准确。
强大的配置选项,既可以通过参数配置,也可以通过引擎配置,对引擎进行定制,在时间、空间和结果准确性之间做出平衡。
完整详细的数据流,结果中有详细的数据流,让你清晰的看出污点是如何一步一步从source 传播到sink。
项目名称:
项目链接:
项目简介:
项目特点、亮点:
404星链计划开源工具视频演示栏目【星际奇兵】第二期来了,跟我们一起快速上手这些优秀的安全工具吧!
关注我们B站(🔍知道创宇404实验室),第一时间获取演示视频~
第二期演示项目:HackBrowserData
项目作者:moonD4rk
项目地址:https://github.com/moonD4rk/HackBrowserData
404星链计划地址:https://github.com/knownsec/404StarLink
想要学习和交流开源安全工具的朋友可以加入404星链计划社群,请扫码识别运营菜菜子微信二维码,添加时备注“星链计划”。
END
如有侵权请联系:admin#unsafe.sh