私有資產(chǎn)測(cè)繪&安全流水線Shovel(Preview)發(fā)布

發(fā)布版本：Shovel-v0.1.7

當(dāng)前項(xiàng)目發(fā)布版本 Shovel-v0.1.7(預(yù)覽版) | 企業(yè)級(jí)資產(chǎn)測(cè)繪管理，開啟資配漏補(bǔ)新范式

shovel-橫圖.png

快速開始：https://diamond-shovel.github.io/shovel-wiki/#/quick-start

WIKI: https://diamond-shovel.github.io/shovel-wiki/#/

注意: 該項(xiàng)目與相關(guān)功能插件社區(qū)正在積極開發(fā)中，未來將發(fā)布突破性變更版本。

更新前建議查看版本變更日志。

如果您覺得項(xiàng)目對(duì)您有幫助，請(qǐng)到我們的核心庫https://github.com/diamond-shovel/diamond-shovel給我們的項(xiàng)目點(diǎn)一個(gè)鼓勵(lì)的星星??！

注: 以上鏈接可能在國(guó)內(nèi)部分地區(qū)訪問緩慢，請(qǐng)使用科研網(wǎng)絡(luò)訪問。

基礎(chǔ)功能集與部分頁面

Shovel的潛力遠(yuǎn)不僅限于傳統(tǒng)的資產(chǎn)管理三件套！

不僅僅是**子域名自動(dòng)掃描、端口自動(dòng)掃描、指紋自動(dòng)識(shí)別**?；A(chǔ)功能輕松使用的同時(shí)，我們還將發(fā)布更多官方插件，并提供企業(yè)插件定制服務(wù)。

應(yīng)用場(chǎng)景與使用邏輯

任務(wù)案例

每天0點(diǎn)、12點(diǎn)，系統(tǒng)自動(dòng)從**A企業(yè)備案中**以**增量**的方式**查詢域名**，并通過**45個(gè)**數(shù)據(jù)源獲取其**子域**資產(chǎn)。同時(shí)，使用**Fofa API**查詢目標(biāo)資產(chǎn)、對(duì)**該C段**所解析的目標(biāo)域名的**超過5個(gè)C段**進(jìn)行掃描，并通過掃描目標(biāo)端口、篩選目標(biāo)WEB服務(wù)、識(shí)別目標(biāo)高危指紋、提取關(guān)鍵信息、從而對(duì)所獲取的信息進(jìn)行漏洞掃描。

策略創(chuàng)建

快速部署，配置專屬于你的掃描策略！

1.gif

一鍵啟動(dòng)

簡(jiǎn)潔明了任務(wù)創(chuàng)建，快速配置一鍵啟動(dòng)。

2.gif

戰(zhàn)果查看

掃描完成，資產(chǎn)收錄清晰可見。

不止是傳統(tǒng)資產(chǎn)管理，主被動(dòng)收錄與錄入更使影子無所遁形。

3.gif

資產(chǎn)態(tài)勢(shì)

煥然一新的資產(chǎn)態(tài)勢(shì)，無論資產(chǎn)所屬本地還是云上，資產(chǎn)配置一目了然。

根據(jù)系統(tǒng)所記錄的資產(chǎn)所生成的資產(chǎn)態(tài)勢(shì)，助力企業(yè)資產(chǎn)配置與管理。

4.gif

漏洞管理

漏洞盡收眼底，掃描結(jié)果一覽無余。

不僅支持漏洞信息快速查看，一鍵導(dǎo)出助力漏洞補(bǔ)償。

5.gif

注: 插件組合方式非僅有展示組合，用戶可根據(jù)WIKI根據(jù)需求自行組合。

（后續(xù)將推出插件組合有向圖，提供官方插件組合方案）

其它功能

此外，Shovel-v0.1.7還發(fā)布了其它基礎(chǔ)功能。

插件管理

?? 插件管理系統(tǒng)：打造您安全的瑞士軍刀。

6.png

即插即用生態(tài)：共建共享社區(qū)插件生態(tài)圈。

極低開發(fā)成本：模版化開發(fā)簡(jiǎn)單編寫插件。

可編輯掃描插件：等保合規(guī)/紅隊(duì)閃電戰(zhàn)/資產(chǎn)接管多種情況均可適配 。

Shovel 的插件商店 和開放SDK ，使其安全能力像樂高積木般自由組合。

無論是調(diào)用 FOFA/API 與外部數(shù)據(jù)整合，還是集成 Nuclei 進(jìn)行漏洞驗(yàn)證。無需重復(fù)造輪子，直接復(fù)用社區(qū)沉淀即為最佳實(shí)踐。

定時(shí)任務(wù)

? 定時(shí)任務(wù)：解放雙手的自動(dòng)化武器

7.png

秒級(jí)精度：按秒/分鐘/小時(shí)/周靈活設(shè)定，深夜自動(dòng)開啟全局掃描 。

增量掃描模式：持續(xù)追蹤新增資產(chǎn)。

資產(chǎn)態(tài)勢(shì)

??? 資產(chǎn)熱力圖：看清邊緣戰(zhàn)場(chǎng)

8.png

智能探測(cè)：主機(jī)運(yùn)行情況清晰展示。

地理位置展示：輕松查看邊緣資產(chǎn) 。

Shovel初步嘗試實(shí)現(xiàn)將資產(chǎn)從表格上冰冷的文字轉(zhuǎn)換為空間感知，使工程師可快速發(fā)現(xiàn)資產(chǎn)的差同。

? 溫馨提示

我們正在全力推進(jìn)Shovel的開發(fā)工作，新版本將帶來突破性更新。當(dāng)前預(yù)覽版可能存在問題，請(qǐng)隨時(shí)向開發(fā)組提出Issue報(bào)告！

issue(Bug反饋)或Feature(加入Shovel內(nèi)核級(jí)功能開發(fā))，至https://github.com/diamond-shovel/diamond-shovel/issues或shovel@hscsec.cn。

鳴謝(得到開發(fā)者允許且被開發(fā)組使用并加入了官方插集):

https://github.com/owasp-amass/amass

https://github.com/wgpsec/ENScan_GO

https://github.com/projectdiscovery/nuclei

https://github.com/antvis/L7

加入本項(xiàng)目開發(fā)

請(qǐng)投遞聯(lián)系方式和簡(jiǎn)歷至h.w@hscsec.cn

?? 法律聲明

本工具僅限合法授權(quán)的安全測(cè)試使用，禁止用于未授權(quán)滲透測(cè)試