「404星链计划」是知道创宇404实验室于2020年8月提出的开源项目收集计划,这个计划的初衷是将404实验室内部一些工具通过开源的方式发挥其更大的价值,也就是“404星链计划1.0”,这里面有为大家熟知的Pocsuite3、ksubdomain等等,很快我们就收到了许多不错的反馈。2020年11月,我们将目光投向了整个安全圈,以星链计划成员为核心,筛选优质、有意义、有趣、坚持维护的开源安全项目,为立足于不同安全领域的安全研究人员指明方向,也就是“404星链计划2.0”。
为了更清晰地展示和管理星链计划的开源项目,今天我们将1.0和2.0整合,推出改版后的「404星链计划」。
计算机开源社区是开放且庞杂的,当然安全也是如此;我们希望404星链计划能够提供一个安全开源项目的交流平台,为项目提供技术支持和奖品激励、进行公开推荐,让更多更优质的项目成为大家的“神兵利器”,以此来促进安全开源社区的发展。就像一颗颗大大小小的星星,本是独自寂寞美丽,但当它们汇在一起,就能聚成一道闪耀璀璨的星河,绽放不可磨灭的力量。
Github地址: https://github.com/knownsec/404StarLink
01 多维度的项目展示
新的页面采用板块的方式,你可以更快速的找到感兴趣的项目,获取项目动态和榜单等等:
- 新项目加入板块
- 项目活跃度板块(发布更新/发布paper/发布视频等)
- Github star rank 板块
- 项目版本更新板块
- 分类板块(甲方工具/信息收集/漏洞探测/攻击与利用/信息分析/后渗透阶段等
- 专栏(Kcon2021 兵器谱/2021 年度项目等)
- etc
同时,我们改进了评分机制,使用榜单对项目进行排名和展示。以项目更新频率、发表相关文章视频、Github Star、用户使用量等多维度描述和展示项目质量。
02 更清晰的加入方式
如果你的安全开源项目有意加入404星链计划,请在星链计划 Github 主页的 issue (https://github.com/knownsec/404StarLink/issues)提交项目申请,提交格式如下:
- 项目名称:
- 项目链接:
- 项目简介:
- 项目特点、亮点:
我们将在1-2周的时间内对申请加入的项目进行审核,审核的基础规范包括:
- README.md (包括但不限于:项目简介、运行环境搭建、运行示例等)
- CHANGELOG (便于记录项目更新)
- LICENCE (为避免开源纠纷,需要提前选择开源协议)
- 编译型项目提供 release 版本
- 项目需要和安全相关
- 必须是完整的开源项目(不能只是二进制,或部分开源)
另外星链评审组还将根据项目场景、功能和源码进行分析,其中评审项包括但不限于:
- 项目具有一定的实用价值
- 项目完整开源
- 项目源码内不包含恶意代码
- 项目可以正常部署和使用
项目审核通过后,我们将发送邀请函邮件,项目正式加入404星链计划。
03 项目维护与激励
项目加入星链计划之后,社群用户可以更方便快捷地获取项目动态和反馈问题,开发者也可以不断根据用户反馈来优化和迭代项目。
我们将继续每周获取项目更新,并在星链计划社群、404官方账号进行推广;项目的相关文档、演示视频也将发布在Seebug Paper、公众号、404实验室B站等平台,为项目增加曝光机会。
同时,为了更好的管理星链计划中项目的生命周期,促进开源项目的发展,我们设置了「里程碑」,开发者可以通过不断维护项目,来达成相关的里程碑获取对应的周边礼品。
当然!我们依旧会为开发者提供知道创宇内推通道、每年优先推荐KCon兵器谱,以及不定期的礼品关怀。
本届KCon 2021兵器谱展示中,有8个项目来自404星链计划:
04 本期新项目
本期收录了4个优秀的项目:
kunyu
项目链接: https://github.com/knownsec/Kunyu
项目简介: Kunyu(坤舆),是一款基于ZoomEye API开发的信息收集工具,旨在让企业资产收集更高效,使更多的安全从业者了解、使用网络空间资源测绘技术。
项目特点、亮点: 开箱即用的命令行网络空间测绘工具
ysomap
项目链接: https://github.com/wh1t3p1g/ysomap
项目简介: Ysomap is A helpful Java Deserialization exploit framework based on ysoserial
项目特点、亮点: 面对如今多样化的目标环境,ysoserial等工具所具备的攻击能力、攻击效果都无法满足实际利用。
ysomap采用了组件化的思路,以多种实现效果装配各类反序列化利用链的生成。当前,以完成了11种exploits,22种payloads(不包含学习用的gadget),25种bullets。覆盖了cc系列、rmi/ldap/jndi系列、xstream等组件或exp。
MySQL_Fake_Server
项目链接: https://github.com/fnmsd/MySQL_Fake_Server
项目简介: 用于渗透测试过程中的假MySQL服务器,纯原生python3实现,不依赖其它包。
项目特点、亮点: 纯原生Python实现,无其它依赖包,有Python3就能用。 支持目前所有场景下的MySQL JDBC Connector反序列化利用。 支持MySQL客户端大文件的完整读取(包括二进制文件)。 最新版本增加了未知用户名登录时,随机读取预置的文件路径,可以当做蜜罐使用。
BurpCrypto
项目链接: https://github.com/whwlsfb/BurpCrypto
项目简介: 支持多种加密算法或直接执行JS代码的用于爆破前端加密的BurpSuite插件。
项目特点、亮点: 集成AES、DES、RSA和大部分对应的加密模式与填充算法。支持多种密钥输入与密文输出格式(UTF8String、HEX、Base64)。支持直接执行JS代码,在部分BurpSuite版本中支持语法高亮编辑器,支持多种JS执行引擎(Jre内置、HtmlUnit、Rhino,目前默认使用Rhino)。内置密文/明文本地持久化KV数据库,通过该插件输出的密文内容可轻松查询出明文。
05 404星链计划社群
加入404星链计划社群,请扫码识别运营菜菜子二维码,添加时备注“星链计划”。
群内欢迎讨论星链计划的各个安全工具,以及网络安全方面资讯、技术等等,欢迎踊跃提问、解答、互帮互助。同时群内开放【帮转正规招聘信息、优秀技术文章、寻求开发伙伴等内容】,请先联系运营菜菜子审核,由菜菜子安排推送到星链各个群中。
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1765/