ody在分享中表示,Osprey在今日的开源,也是源自于长久的积累。安全团队应该都会有自己定制的一些小工具,便于平时的工作使用,Osprey也是如此。最初,它只是作为团队内部人员自己开发使用的一个PoC检测小工具,随着需求以及使用场景的复杂化,Osprey也逐渐的迭代升级,演化到今天,成为一个稳定、强大的框架工具。
在此基础上,TCC也希望将自己积累的能力通过开源的方式传递给安全圈和其他人,就像FreeBuf和漏洞盒子一样,秉承自由与分享的精神相互交流。
《深入CRS漏洞检测框架Osprey:鱼鹰的智慧之眼》
在信息安全的广阔领域,漏洞检测是至关重要的环节。Osprey,这款由斗象能力中心(Tophant Competence Center)倾力打造的开源漏洞检测框架,以其独特的功能和设计理念,成为了安全测试工具中的耀眼明星。其名称"Osprey",象征着快、精、准的特性,如同翱翔在网络安全领域的猛禽,敏锐地捕捉每一个潜在的安全威胁。
Osprey最初是为了满足团队内部的PoC(Proof of Concept)检测需求而诞生,随着时间的推移和应用场景的扩展,它逐步演变成一个全面的框架工具,旨在帮助白帽子、渗透测试人员、运维人员和安全专家等不同角色的用户,高效、自动化地进行漏洞检测。Osprey的核心价值在于拒绝重复性工作,通过规范PoC编写,实现快速输出,以及安全能力的积累与分享。
在实际使用中,Osprey提供了命令行和交互式Console,用户可以便捷地进行漏洞检测并获取结果。同时,它还支持Web API接口,允许用户根据自身需求构建自定义的漏洞扫描器。然而,面对多样化的检测任务,如对单个或多个目标的多漏洞检测,Osprey是如何应对的呢?
Osprey采用Flask作为轻量级Web API接口,结合Celery和RabbitMQ作为任务调度和管理的队列,利用多进程和协程的执行方式处理Worker任务,再通过MongoDB存储任务执行结果,构建了一个分布式漏洞检测框架。这一设计有效地解决了任务下发、调度、管理和结果存储的难题,同时也保证了运行速度和性能。
对于那些无法直接回显的漏洞,如后台XSS、命令注入、SSRF等,Osprey与dnspot的协同工作提供了解决方案。dnspot是TCC的另一开源项目,它是一个DNS解析和记录服务器,可以利用DNS域名和解析进行无回显漏洞的盲检测。通过在PoC中嵌入带有特定标识的域名作为payload,当检测到特定域名的解析请求时,即表明漏洞已被触发。dnspot的集成使得Osprey在处理此类复杂情况时游刃有余。
为了更好地展示Osprey的功能,可以通过官方提供的视频演示,直观地了解其在实际操作中的应用。Osprey,这只翱翔在网络安全天空的鱼鹰,正以其精准的目光和强大的能力,为我们的信息安全保驾护航。
Osprey是一款集快速检测、自动化、可定制化于一体的漏洞检测框架,它体现了开源精神,通过分享和交流,持续提升整个安全社区的技术实力。无论你是安全领域的专业人士,还是希望深入了解网络安全的企业用户,Osprey都将是你的得力助手,帮助你发现并解决潜在的安全隐患。想要了解更多关于Osprey的细节和使用方法,欢迎访问其官方GitHub仓库(https://github.com/TophantTechnology/osprey)获取更多信息。
