Skip to content

漏洞平台随想~

字数
1400 字
阅读时间
6 分钟
更新日期
3/2/2019

打造一个自己的漏洞平台,之前就有过随想 国内的exploit-db? 但是就和分类目录名一样只是碎碎语(梦话)而已,一直因为别的事情没有付诸于实际。但是为什么又在此随想到它了呢,且听我一一道来~

0x01 我的想法

这个想法出现在上周,我做漏洞应急报告的时候,我翻阅了之前的报告,发现这些报告都只是简单复现了一下漏洞,想学习或编写poc,只能在Google上搜索。

于是我就想,有没有这样一个平台,收集当前爆发的漏洞,存档,当公开后也会补上详情,poc呢?是有的,国内很多企业都有,但是可能为了规避风险,都没有开放。

我就想做一个免费开放的。

0x02 我的尝试

我之前是有这样的尝试的,比如我在github上的airbug,hack-requests项目,都是为之作铺垫。然后上周,有位大佬加我微信,找我谈了谈社区化安全工具开源的想法,以及poc漏洞库的建设问题,说实话,虽然我不太认同社区化能做出多大的贡献,但至少有比没有好。

真的如此,这也是为什么我一直热衷于开源我的安全作品,一是因为我在学校闲来也无事而且我刚好也喜欢与这个方向,再加上我接触到的安全软件中,真的感觉不到它们的好用!所以我开源了我的漏洞扫描器,指纹识别平台,以及最近的资产收集系统。当然,虽然和真正专业的比还差很多。

0x03 其他优秀作品

咦,扯回原话题,然后又有某大佬给我看了http://www.vulhub.org.cn/ ,但我感觉,还是太封闭

当然,国内也有做得比较好的,我认为。

  • p牛的vulhub
  • 最近的kunpeng

vulhub真的好的没话说,浅谈下kunpeng,和我建立airbug的思想简直太相似了,然后用Go语言解决的跨平台的环境问题,又方便其他语言调用,唯一的遗憾,我觉得是静态语言毕竟不够灵活,而且不能够在线调用。

总之,在上周我接收到了各种和我一样相似的想法,让我感到有点急迫了,点子大家都想到了,接下来就看怎么做。

0x04 胡言乱语

我觉得还是安全行业比较特殊,你不能和其他的编程行业相比,编程行业开源各种轮子,可以相互提高效率,但是安全行业,因为比较特殊,你的开源瞬间就会变成各种牟利的工具,而且大部分安全都是面向企业用户,就没有开源的必要了。

国外的氛围就比我们好多了,它们专业级的工具也确实好用,相比国内,用的多是针对某个单一情况。

我想改变这种情况,开发了好几款安全软件并且开源,但好像都没什么用。

0x05 漏洞平台

先上结果,这是上周有了想法后记录在印象笔记上的一点想法

技术运营商我的想法是,或爬虫或手工,在github上每天更新漏洞爆发的信息,然后应急漏洞,出复现的流程以及未来出详细分析,poc文件等等。

在github上更新的只是md的文章,github上更新后,用github ci,通知我服务器获取该文章。服务器上另运行一个网站,就是用来收集这些漏洞信息,方便以后搜索查阅。

这样,多人模式下大家只需要在github上帮忙更新就好了。

0x06 预想的问题

反正对于安全我也只是了解一些,太深了也不会,就是那种啥都懂啥都不懂的状态。但积攒一些资料,给后面人学习是不错的,这也是一种价值的体现。

能预料到未来可能就我一个人在更新,可能也不会更新。

0x07 End

怎么说呢,我想还是先把整个框架和架构做好了再说更新的事情吧,把技术层面的解决了,开源在github上,后面如果有人和我同样想法,一个参考也是不错的。

写这篇文章的目的,主要是在我w12scan基本上完成了,后续找不到编程的灵感了,现在又一想,这种需要长期维护更新的东西好像又不太适合我,我总是一个想法冒起来后就会很激动,做到一半的时候通常就会丢下它转向另一个想法了。

不过我所接触到的写安全软件的人越来越多了,这很棒~

0x08 摊手

那能咋办呢?现在凌晨一点半了,好困啊,明天再说吧

撰写