网藤正式开源漏洞检测框架Osprey「鱼鹰」

2017-10-23 367788人围观 ,发现 7 个不明物体 工具资讯

2017年9月23日, FreeTalk 2017深圳站在深圳市洛客邦德馆成功举办。此次活动聚集了500多名业界顶级的安全技术人员,来自斗象科技能力中心(Tophant Competence Center,简称TCC)的Cody在会上分享了议题《深入CRS漏洞检测框架——Osprey(鱼鹰)》,并籍此正式开源该框架工具,受到与会人员的关注。

「Osprey」是TCC研发的一款开源漏洞检测框架,应用在斗象科技旗下产品网藤CRS(www.riskivy.com/product/crs),并已同步到Github开源社区。

漏洞的生命周期

当一个新的漏洞被批漏出来,安全技术人员、研究人员会对漏洞原理进行剖析研究,然后输出对该漏洞的检测脚本(以下简称PoC)。随后,利用输出的PoC对客户或自有的产品、服务器等进行漏洞检测,最后提出对漏洞的修补建议。在整个漏洞生命周期中,最受关注的一点就是「PoC的输出」。

Osprey for what ?

•    快速漏洞检测

•    拒绝重复性工作,实现自动化

•    规范PoC编写,快速输出PoC

•    安全能力的积累与输出——开源

Osprey for who ?

•    白帽子、渗透测试人员、运维人员、安全专家……

•    企业用户

How to use Osprey ?

•    命令行与交互式Console:快速检测漏洞,输出结果

•    Web API接口:构建自己的漏洞扫描器

大家可能会有这样的疑问:目前安全圈内已经有一些开源可用的 PoC 框架,为什么TCC还要再造一套呢?

Cody 在分享中表示,Osprey 在今日的开源,也是源自于长久的积累。安全团队应该都会有自己定制的一些小工具,便于平时的工作使用,Osprey 也是如此。最初,它只是作为团队内部人员自己开发使用的一个PoC 检测小工具,随着需求以及使用场景的复杂化,Osprey 也逐渐的迭代升级,演化到今天,成为一个稳定、强大的框架工具。

在此基础上,TCC 也希望将自己积累的能力通过开源的方式传递给安全圈和其他人,就像 FreeBuf 和漏洞盒子一样,秉承自由与分享的精神相互交流。

当然,Osprey 与其他PoC 框架也有差异。

命令行与 Web API 接口使 Osprey 的集成与调用更灵活多样,使用者可以简单的用 Osprey 作为PoC 工具检测漏洞,也可以利用它来定制开发自己的漏洞检测扫描器。另外,搭配 dnspot 组件,Osprey 还可以更全面的捕捉漏洞。

而我们将其命名为鱼鹰,也是希望它能够像鱼鹰捕获猎物一样,快、精、准、狠。

命令行+Web API接口

以 Flask 为轻量级 Web API 接口,以 Celery 和 RabbitMQ 作为队列的任务调度和管理,以多进程和协程结合的执行方式作为 Worker 消费任务,以 MongoDB 存储任务执行结果的分布式漏洞检测框架。

技术架构图,网藤CRS为例

除此之外,在日常工作中也会碰到漏洞无回显,PoC 写不了的问题,比如后台 XSS 盲打、命令注入、SSRF……有payload 也不知道如何写PoC。TCC对此也提出了自己的解决方案。

Osprey + dnspot = 漏洞无所遁形

意即:

利用DNS域名和解析做无回显漏洞的盲检测,将带有特定标识的域名作为payload的一部分(如在命令注入漏洞的检测中,使用“curlhttp://1234567abcdefg.blind.vulbox.com/作为PoC的payload),当在你的名称服务器上收到对该域名的解析请求时,说明漏洞被触发了。

dnspot

TCC的另一个开源项目,它实现了一个DNS解析和记录服务器。

实现方式:一个域名 + 一台公网服务器 + 将该域名的Name Server配置为该台服务器 + 部署dnspot于服务器上 

通过Osprey.utils提供的接口,可以非常方便的联动dnspot,在PoC中简单的通过方法调用就能实现无回显漏洞的盲检测。

Osprey + dnspot架构图

dnspot是Osprey针对盲检测漏洞打造的利器,相关代码以及与Osprey的联动也将会在近期开源到Github中,敬请期待。

项目地址:https://github.com/TophantTechnology/Osprey

关于TCC

TCC——斗象能力中心(Tophant Competence Center)成立于2017年4月,是为斗象科技的产品以及客户提供前沿安全技术的研究与能力支撑的团队。

专注于以下安全领域:

• Web安全研究,0 Day挖掘,技术分享

• 突发事件,应急响应技术支持

• IoT智能硬件,包含固件安全、逆向分析、无线协议、智能APP等安全研究

• 机器学习,突破现有技术的不足,提升安全能力

• 企业级安全产品的安全研究和研发。


AI安全系列公开课,是「AI安全嘉年华」的系列活动之一。我们邀请国际AI信息安全研究领域知名学者、国内AI信息安全创新企业负责人、全球首个关注智能生活的安全极客大赛GeekPwn技术总监、国内顶尖信息安全实验室keen创始人等行业大咖,带来五节免费AI安全公开课。  来和我们一起学习,了解人工智能在信息安全领域最前沿的研究和应用,探讨AI 信息安全的无尽可能。

继由德国弗劳恩霍夫研究中心的肖煌博士带来的第一节免费AI安全公开课后,11月8日,我们请来了斗象科技美女产品经理——吴婷,带来主题为《智能引力——突破安全视界》的分享。

AI安全系列公开课第二节

ai嘉年华-06.png

本期讲师

吴婷

前腾讯高级产品经理,RSVP高级经理、大数据分析专家,斗象科技网藤产品负责人。

分享内容

本次,吴婷将带来主题为《智能引力-突破安全视界》的分享,内容包括但不仅限于以下几点:

1、攻防升级-从传统到智能

2、 智能体系下的智能安全

3、 智能安全场景下的SVA

4、 基于机器学习的安全检测

公开课信息:

公开课时间:11月8日(周三)20:00

公开课地址:FreeBuf公开课

参与方式:

转发本条消息至朋友圈,并将截图发送给公开课小助手微信:fbgkk2017 ,小助手将邀请您加入公开课交流群(已经入群的请记得关注群消息)

( * 担心错过公开课的同学可点击下方文字链接,留下联系方式,当天我们将短信提醒大家。)

14919630614270.jpg

AI安全系列公开课报名

发表评论

已有 7 条评论

取消
Loading...
css.php