2023年,404星链计划受到了更多安全从业者的关注,也收到了众多项目投稿。我们在其中精选收录了9个优质开源安全项目,首先来看看近期收录的两个新项目,欢迎大家分享收藏,以及使用、反馈:
全面性: 从信息收集、权限申请及数据传输等多个维度,实现对APP个人信息合规的全面检测。
规范性: 全面覆盖《App违法违规收集使用个人信息行为认定方法》、国家标准GB/T35273《信息安全技术 个人信息安全规范》、《中华人民共和国网络安全法》等主流安全检测标准。
高效性: 可帮助APP开发公司及开发者快速对APP进行日常合规检测,深度挖掘隐私合规风险点、快速处理大批量App,替代人工翻查代码,降低时间与人力成本,显著提升检测效率。
易用性: 无需环境搭配、开箱即用。
这是一个敏感信息提取工具,目前支持大部分常见浏览器、若干聊天软件及部分其他软件信息的提取。
体积在100kb左右,为同类工具体积的几分之一甚至几十分之一;
支持大部分常见浏览器,常见聊天软件的信息提取,将陆续添加其他常用工具的信息收集;
长期维护,有问题可以及时的反馈处理;
使用魔改版本的Donut,缩小shellcode体积,使shellcode兼容.Net Framework v3.5/v4.x,并去除AV/EDR对Donut提取的特征。
现如今APP隐私合规十分重要,各监管部门不断开展APP专项治理工作及核查通报,不合规的APP通知整改或直接下架。camille可以hook住Android敏感接口,并识别是否为第三方SDK调用。根据隐私合规的场景,辅助检查是否符合隐私合规标准。
https://github.com/zhengjim/camille
rakshasa是一个使用Go语言编写的强大多级代理工具,专为实现多级代理,内网穿透而设计。
https://github.com/Mob2003/rakshasa
dperf 是一个100Gbps的网络性能与压力测试软件。国内多个知名安全厂商用dperf测试其防火墙。知名开源四层负载均衡DPVS在用dperf做性能测试,发布性能测试报告。
https://github.com/baidu/dperf
JYso是一个可以用于 jndi 注入攻击和生成反序列化数据流的工具,既可以当 JNDIExploit 用也可以当作 ysoserial 使用。
https://github.com/qi4L/JYso
js cookie逆向利器:js cookie变动监控可视化工具 & js cookie hook打条件断点。属于Web安全的JavaScript加密逆向领域的辅助脚本工具,用于高效率的对Cookie类型的加密进行逆向分析。
https://github.com/JSREI/js-cookie-monitor-debugger-hook
vArmor 是一个云原生容器沙箱系统,它借助 Linux 的 LSM 技术(AppArmor & BPF)对云原生环境中的 Linux 容器进行沙箱加固,从而增强容器隔离性、减少内核攻击面、增加容器逃逸或横向移动攻击的难度与成本。vArmor 遵循 Kubernetes Operator 设计模式, 使用户可以通过声明式 API 来操作沙箱系统对工作负载进行加固。从而以更贴近业务的视角,实现对容器化微服务的沙箱加固。
https://github.com/bytedance/vArmor
Tai-e(太阿)是一个通用型Java程序分析框架,包含了开发程序分析技术所需的各类基础设施,并提供了可配置性高、功能强大的污点分析系统,用于检测各类隐私泄露、注入攻击等安全漏洞。
https://github.com/pascal-lab/Tai-e
在今年新项目的加入下,目前「404星链计划」已收录了包括甲方工具、信息收集、漏洞探测、攻击与利用、信息分析、内网工具等多种类的优质开源安全工具达70个,备受安全行业瞩目与欢迎,成为热门的工具使用与交流阵地。
今年404星链计划还针对3个优质项目制作了操作演示视频,让我们一起再来学习一下吧,来不及看的同学记得先收藏!(B站@知道创宇404实验室)
以及我们发布的各分类下的优质项目盘点文章,希望对你有所帮助:
最后我们还要为这些项目给予特别嘉奖:
在404星链计划所有项目中,有以下5个项目今年在Github上都获得了超1000的star增长,人气十足:
还有以下5个项目的作者,在今年积极维护项目、发布项目更新,被评为404星链计划2023年度最勤劳作者:
afrog 发布更新27次
Viper 发布更新15次
HaE 发布更新14次
gshark 发布更新12次
veinmind-tools 发布更新9次
如有侵权请联系:admin#unsafe.sh