企業(yè)安全攻擊面分析工具

以攻擊者的視角來審視企業(yè)互聯(lián)網(wǎng)資產(chǎn)可能存在的漏洞或其它可被攻擊的可能性，這是一項(xiàng)極其重要的工作。今天分享幾款開源的企業(yè)攻擊面分析工具，可幫助甲方安全團(tuán)隊(duì)對(duì)攻擊面進(jìn)行梳理和檢測(cè)。

01、Goby - Attack?surface mapping

Goby是新一代的網(wǎng)絡(luò)安全評(píng)估工具，它能夠?yàn)槠髽I(yè)梳理出最完整的攻擊面信息，同時(shí)可以根據(jù)暴露在外網(wǎng)的漏洞快速滲透到企業(yè)內(nèi)網(wǎng)。

官網(wǎng)地址：

https://gobies.org/

02、ARL - 資產(chǎn)安全燈塔

快速發(fā)現(xiàn)并整理企業(yè)外網(wǎng)資產(chǎn)，構(gòu)建資產(chǎn)信息庫，協(xié)助甲方安全團(tuán)隊(duì)或者滲透測(cè)試人員快速找到企業(yè)資產(chǎn)中的薄弱點(diǎn)和攻擊面。

github項(xiàng)目地址：

https://github.com/TophantTechnology/ARL

03、linglong - 資產(chǎn)巡航掃描系統(tǒng)

系統(tǒng)定位是通過masscan+nmap無限循環(huán)去發(fā)現(xiàn)新增資產(chǎn)，自動(dòng)進(jìn)行端口弱口令爆破、指紋識(shí)別、XrayPoc掃描。

github項(xiàng)目地址：

https://github.com/awake1t/linglong

04、SEC-分布式資產(chǎn)安全掃描

SEC可用于企業(yè)對(duì)服務(wù)器資源安全進(jìn)行掃描排查，可控性強(qiáng)、可停止運(yùn)行中的掃描任務(wù)、支持分布式多節(jié)點(diǎn)部署，更快的掃描進(jìn)度 + 節(jié)點(diǎn)執(zhí)行信息動(dòng)態(tài)反饋，快速定位漏洞。

github項(xiàng)目地址：

https://github.com/smallcham/sec-admin

05、w12scan - 網(wǎng)絡(luò)安全資產(chǎn)掃描引擎

通過WEB接口下發(fā)任務(wù)，w12scan會(huì)自動(dòng)將相關(guān)的資產(chǎn)聚合在一起方便分析使用。

github項(xiàng)目地址：

https://github.com/w-digital-scanner/w12scan