当前时间: 2026-03-11 23:35:33
分类:软件教程
评论(0)
一键挖掘企业APP资产&漏扫平台
受开学季个人事务繁杂的影响,近期投入本项目的时间比重有所压缩,导致部分师傅的等待时间延长。今日将接续上篇内容,同步最新的开发进展。
这次主要完善了搜索 – 下载 – 分析”的闭环流程
新增了加壳类型自动识别功能快速判断目标 APP 的保护方案
自动脱壳:目前的构想是需要手写几个专门的工具(造轮子)来实现通用的自动脱壳逻辑。
单包上传机制:在测试单个 APP 分析时发现,现有的上传流程不够灵活,需要重构一下。
项目虽慢但未停歇,重新梳理架构。感谢大家的耐心守候!
同时最近也在想做一款比较简单但是好用的漏扫工具、真正的优秀扫描器,应当剥离冗余的操作步骤,直击核心需求。通过极致的简化流程,我们不仅能大幅节约时间成本,更能让测试人员专注于结果分析,从而显著提升检测的准确性与效率。(仅个人意见 勿喷~
这里为了安全性设置了一下用户注册需要管理员进行后台审核
安全扫描这块采用的自写扫描方式 普通的扫描并发起来数量大就会变得数据不准、这里经过多轮测试返回的数据这块还是不错的、支持一些常见的服务端口和自定义以及全端口扫描
指纹识别这里用的就是ehole的个人感觉比较全面后期也可以自己添加比较方便
poc这里为了后期更好的维护可以支持自动上传压缩包解析yaml格式自动去重合并
自动扫描这里目前只写了两个测绘系统hunter/fofa也是初步实现一下这个想法、
根据资产测绘系统搜索出来的资产进行选择性的发送到扫描模块、指纹/端口/poc
任务管理就和其他的平台差不多支持查看下载和查看详情停止删除等操作
目前只算是一个demo吧 还在慢慢完善 将一些不合理的地方和存在瑕疵的地方慢慢的进行修改。
后期的想法是计划引入 Worker 多线程/多进程工作流,通过任务分发与并行处理机制,显著提升扫描任务的吞吐量与执行效率,实现资源利用的最大化。
不做那种把所有 PoC 跑一遍的笨功夫。先指纹识别,命中什么组件就只测什么漏洞。精准匹配,拒绝误报,把时间花在刀刃上。
可能还会加入前端深度挖掘:集成类似 jsfind 的深度 JS 链路挖掘能力,自动提取敏感接口与隐藏资产。以及小程序反编译与自动化审计模块
深知安全无小事,我们坚持“不稳定不发版”。只有当自动脱壳、智能漏扫等核心模块经过充分验证,达到实战标准后,才会与APP 资产收集工具整合,以完整套件的形式发布。感谢各位师傅的耐心等待。
本文章及相关代码思路仅供网络安全技术研究与学习交流使用。
用途限制:严禁利用本文所述技术、思路或未来发布的工具进行任何未经授权的渗透测试、攻击行为或非法数据获取。所有测试行为必须在获得明确书面授权的前提下,于合法合规的环境中进行。
责任界定:作者不对因使用或误用本文内容、相关代码及工具而导致的任何直接或间接损失、法律纠纷、数据泄露或系统破坏承担任何责任。
风险自担:使用者应自行承担使用本工具的一切风险与后果。若因违规操作触犯法律法规,一切法律责任由使用者本人承担,与作者及本项目无关。
本站文章均为手工撰写未经允许谢绝转载:
夜雨聆风 »
一键挖掘企业APP资产&漏扫平台
夜雨聆风
