工欲善其事，必先利其器。對(duì)于廣大的網(wǎng)絡(luò)安全從業(yè)者，以及未來(lái)想要從事網(wǎng)絡(luò)安全的人來(lái)說(shuō)，選擇并善用合適的網(wǎng)絡(luò)安全工具，能有效提升工作效率。

開(kāi)源網(wǎng)絡(luò)安全工具之所以能夠在眾多安全解決方案中脫穎而出，不僅是因?yàn)樗鼈兙邆鋸?qiáng)大的功能和高效的性能，更因?yàn)樗鼈兊拈_(kāi)放性和可擴(kuò)展性，使得用戶(hù)可以根據(jù)自身的需求進(jìn)行定制和優(yōu)化。同時(shí)，這些工具背后有著龐大的開(kāi)發(fā)者社區(qū)，他們不斷貢獻(xiàn)代碼、修復(fù)漏洞、更新功能，為工具的持續(xù)發(fā)展和完善提供了源源不斷的動(dòng)力。

在本文中，我們盤(pán)點(diǎn)了近年來(lái)發(fā)布的十個(gè)能大幅提高工作效率的優(yōu)秀開(kāi)源安全工具，覆蓋數(shù)字取證、云威脅檢測(cè)、滲透測(cè)試、漏洞掃描、開(kāi)源代碼審核、應(yīng)用安全評(píng)估等多個(gè)領(lǐng)域：

*內(nèi)容綜合自網(wǎng)絡(luò)

Adalanche：開(kāi)源安全分析工具

Adalanche是一款專(zhuān)為Active Directory（AD）環(huán)境設(shè)計(jì)的開(kāi)源安全分析工具，能夠通過(guò)直觀(guān)的可視化界面幫助安全團(tuán)隊(duì)快速識(shí)別和管理AD中的權(quán)限和訪(fǎng)問(wèn)控制列表（ACL）。通過(guò)Adalanche，用戶(hù)能夠輕松理解用戶(hù)和組在A(yíng)D中的權(quán)限分布，識(shí)別潛在的配置錯(cuò)誤和接管風(fēng)險(xiǎn)，從而加強(qiáng)組織的整體安全性。

Adalanche的核心功能包括：

• 權(quán)限可視化：Adalanche通過(guò)圖形化的方式展示AD中的權(quán)限關(guān)系，使用戶(hù)能夠直觀(guān)地了解哪些用戶(hù)和組擁有對(duì)特定資源的訪(fǎng)問(wèn)權(quán)限。
• 錯(cuò)誤配置檢測(cè)：Adalanche能夠識(shí)別并標(biāo)記出AD中可能存在的權(quán)限配置錯(cuò)誤，如過(guò)度的權(quán)限授予或不必要的繼承設(shè)置，幫助管理員及時(shí)修復(fù)這些安全隱患。
• 接管風(fēng)險(xiǎn)分析：利用Adalanche，用戶(hù)可以輕松識(shí)別哪些用戶(hù)或組擁有潛在的接管風(fēng)險(xiǎn)，如能夠接管其他用戶(hù)賬號(hào)、設(shè)備或整個(gè)域。這有助于管理員提前采取措施，防止惡意利用。

與其他類(lèi)似工具相比，Adalanche在易用性和部署靈活性方面具有顯著優(yōu)勢(shì)。它通過(guò)go語(yǔ)言開(kāi)發(fā)，擁有出色的性能和穩(wěn)定性，能夠滿(mǎn)足各種規(guī)模組織的安全分析需求。

下載地址：https://github.com/lkarlslund/adalanche

Nemesis：開(kāi)源攻擊性數(shù)據(jù)富化和分析平臺(tái)

Nemesis是一個(gè)集中式數(shù)據(jù)處理平臺(tái)，可攝取、富化攻擊性安全評(píng)估數(shù)據(jù)（即滲透測(cè)試和紅隊(duì)參與期間收集的數(shù)據(jù)）并對(duì)其進(jìn)行分析。

Nemesis可以收集來(lái)自各種來(lái)源的攻擊性數(shù)據(jù)，包括滲透測(cè)試中的網(wǎng)絡(luò)流量、日志、用戶(hù)行為等。同時(shí)，Nemesis還可以利用各種工具和技術(shù)對(duì)收集到的數(shù)據(jù)進(jìn)行進(jìn)一步的處理和富化，提取出更多的信息。

Nemesis平臺(tái)提供了強(qiáng)大的數(shù)據(jù)分析功能，幫助用戶(hù)識(shí)別出潛在的安全威脅、漏洞和攻擊模式。通過(guò)內(nèi)置的各種工具和連接器，Nemesis可以對(duì)原始數(shù)據(jù)進(jìn)行深度處理，提取出更多的上下文信息，如IP地址的地理位置、域名的注冊(cè)信息、用戶(hù)行為的模式等?；诜治鼋Y(jié)果，Nemesis可以自動(dòng)生成詳細(xì)的報(bào)告，包括威脅評(píng)估、漏洞列表、攻擊路徑等，便于用戶(hù)向管理層或客戶(hù)展示結(jié)果。

在滲透測(cè)試過(guò)程中，Nemesis可以幫助測(cè)試人員快速收集和分析攻擊性數(shù)據(jù)，發(fā)現(xiàn)潛在的安全漏洞和威脅。Nemesis可以作為威脅情報(bào)平臺(tái)的一部分，用于收集和分析來(lái)自各種來(lái)源的威脅情報(bào)數(shù)據(jù)，為企業(yè)的安全防護(hù)提供有力支持。

安全研究：對(duì)于安全研究人員來(lái)說(shuō)，Nemesis是一個(gè)強(qiáng)大的工具，可以幫助他們深入研究各種攻擊技術(shù)和手段，提高安全防護(hù)能力。

下載地址：https://github.com/SpecterOps/Nemesis

Mosint：開(kāi)源自動(dòng)化電子郵件OSINT工具

Mosint是一款用Go編寫(xiě)的自動(dòng)化電子郵件OSINT工具，旨在促進(jìn)對(duì)目標(biāo)電子郵件的快速高效調(diào)查。它集成了多種服務(wù)，使安全研究人員能夠快速訪(fǎng)問(wèn)廣泛的信息。

Mosint與其他工具的最重要區(qū)別在于它的速度和集成度。它從多個(gè)服務(wù)Mosint與其他工具相比，最大的優(yōu)勢(shì)在于其速度和集成度。它能從多個(gè)服務(wù)異步提取數(shù)據(jù)，使得操作更加高效。異步提取數(shù)據(jù)，并且使用簡(jiǎn)單。

并且具有以下多種功能：

• 電子郵件驗(yàn)證：通過(guò)輸入電子郵件地址，Mosint可以驗(yàn)證該地址是否有效和存在。
• 社交媒體賬戶(hù)檢查：Mosint可以幫助用戶(hù)查找與電子郵件地址關(guān)聯(lián)的公共社交媒體賬戶(hù)。
• 公共違規(guī)數(shù)據(jù)庫(kù)查詢(xún)：Mosint能檢查電子郵件地址是否出現(xiàn)在公共違規(guī)數(shù)據(jù)庫(kù)中，幫助防止欺詐和惡意活動(dòng)。
• 相關(guān)電子郵件和域名分析：Mosint可以提供與電子郵件地址或域名相關(guān)的信息，如關(guān)聯(lián)的電子郵件地址、域名注冊(cè)信息等。

Mosint提供了用戶(hù)友好的基于Web的界面，用戶(hù)也可以選擇完全通過(guò)命令行進(jìn)行操作。無(wú)論是在安全領(lǐng)域還是在個(gè)人使用中，Mosint都能幫助用戶(hù)更輕松地獲取和分析電子郵件地址的相關(guān)信息，從而提高安全性和決策準(zhǔn)確性。

下載地址：https://github.com/alpkeskin/mosint

AuthLogParser：數(shù)字取證和事件響應(yīng)的開(kāi)源利器

AuthLogParser是一款專(zhuān)為數(shù)字取證和事件響應(yīng)而定制的開(kāi)源工具，其主要功能是分析Linux身份驗(yàn)證日志（auth.log）。這款工具在網(wǎng)絡(luò)安全和系統(tǒng)管理中發(fā)揮著重要作用，特別是在面對(duì)潛在的安全威脅或系統(tǒng)故障時(shí)，它能夠幫助管理員和安全專(zhuān)家快速定位問(wèn)題、提取關(guān)鍵信息，從而做出準(zhǔn)確的響應(yīng)。

AuthLogParser能夠深入解析Linux身份驗(yàn)證日志（auth.log），提取關(guān)鍵詳細(xì)信息，如SSH登錄、用戶(hù)創(chuàng)建、事件名稱(chēng)、IP地址等。這些信息對(duì)于理解系統(tǒng)活動(dòng)、識(shí)別潛在威脅或故障至關(guān)重要。

AuthLogParser提供了直觀(guān)的命令行界面和豐富的文檔支持，用戶(hù)無(wú)需具備深厚的編程知識(shí)即可輕松上手。此外，它還支持多種操作系統(tǒng)平臺(tái)，確保了廣泛的兼容性。

AuthLogParser支持多種輸出格式，如文本、CSV、JSON等，方便用戶(hù)將分析結(jié)果集成到其他系統(tǒng)或工具中，進(jìn)行進(jìn)一步的分析或報(bào)告。

AuthLogParser作為一款數(shù)字取證和事件響應(yīng)的開(kāi)源工具，具有強(qiáng)大的日志分析能力和靈活的自定義選項(xiàng)。它可以幫助管理員和安全專(zhuān)家快速定位問(wèn)題、提取關(guān)鍵信息，從而做出準(zhǔn)確的響應(yīng)。無(wú)論是在安全審計(jì)、事件響應(yīng)還是合規(guī)性檢查方面，AuthLogParser都能發(fā)揮重要作用。

下載地址：https://github.com/YosfanEilay/AuthLogParser

CloudGrappler：開(kāi)源云安全工具

CloudGrappler是一款由Permiso團(tuán)隊(duì)打造的開(kāi)源云安全工具，能夠基于現(xiàn)代云威脅參與者的策略、技術(shù)和程序(TTP)（如LUCR-3）提供增強(qiáng)的檢測(cè)功能，它利用高效的日志查詢(xún)機(jī)制，通過(guò)命令行接口（CLI）與數(shù)據(jù)源進(jìn)行交互，確保在各種環(huán)境下都能穩(wěn)定運(yùn)行，能夠幫助安全管理團(tuán)隊(duì)更加輕松地應(yīng)對(duì)云環(huán)境中的安全挑戰(zhàn)。

通過(guò)CloudGrappler，用戶(hù)可以迅速識(shí)別并應(yīng)對(duì)可能的攻擊活動(dòng)，從而保護(hù)云基礎(chǔ)設(shè)施免受惡意威脅。

CloudGrappler不僅支持AWS和Azure等主流云平臺(tái)，還具備良好的可擴(kuò)展性，可以根據(jù)不同需求定制和擴(kuò)展檢測(cè)范圍。

除了基本的威脅檢測(cè)外，CloudGrappler還提供了一系列輔助功能，如日志分析、事件追蹤等，幫助用戶(hù)更全面地了解云環(huán)境中的安全狀況。

CloudGrappler的技術(shù)實(shí)現(xiàn)基于Python語(yǔ)言，并利用了多種開(kāi)源庫(kù)和框架。其依賴(lài)于requirements.txt中列出的包，這些包提供了必要的功能和穩(wěn)定性支持。此外，CloudGrappler還通過(guò)命令行接口（CLI）與數(shù)據(jù)源進(jìn)行交互，使得用戶(hù)可以方便地配置和管理工具。

下載地址：https://github.com/Permiso-io-tools/CloudGrappler

CVE Prioritizer：開(kāi)源漏洞管理工具

CVE Prioritizer集成了CVSS、EPSS和CISA KEV的數(shù)據(jù)，其中CVSS提供漏洞特征相關(guān)信息，而EPSS提供漏洞被利用的風(fēng)險(xiǎn)信息。

繼而CVE Prioritizer能夠根據(jù)漏洞被利用的可能性和漏洞危害程度來(lái)判斷漏洞修復(fù)的優(yōu)先級(jí)，提供全面且深入的視角幫助用戶(hù)識(shí)別最有可能被攻擊者利用的漏洞。

安全團(tuán)隊(duì)可以根據(jù)所在單位的風(fēng)險(xiǎn)承受能力，靈活調(diào)整工具輸出，適應(yīng)不同的安全需求，實(shí)現(xiàn)決策最優(yōu)化。

CVE Prioritizer提供了一個(gè)易于使用的命令行界面，用戶(hù)只需獲取NIST NVD API密鑰并將其添加到配置文件中，然后提供單個(gè)或多個(gè)CVE標(biāo)識(shí)符，或者從文件導(dǎo)入，即可根據(jù)需要選擇詳細(xì)輸出、自定義閾值等選項(xiàng)。

在網(wǎng)絡(luò)安全領(lǐng)域，面對(duì)大量漏洞時(shí)，有效管理和優(yōu)先處理至關(guān)重要。CVE Prioritizer通過(guò)提供基于數(shù)據(jù)驅(qū)動(dòng)的方法，幫助安全團(tuán)隊(duì)精細(xì)化地排列修復(fù)工作的優(yōu)先級(jí)，從而確保重要漏洞得到及時(shí)處理，降低潛在的安全風(fēng)險(xiǎn)。

下載地址：https://github.com/TURROKS/CVE_Prioritizer

Prowler：開(kāi)源云安全工具

Prowler是一款開(kāi)源云安全工具，用于評(píng)估、審核和增強(qiáng)AWS、GCP和Azure的安全性。它還配備了事件響應(yīng)、持續(xù)監(jiān)控、強(qiáng)化和取證準(zhǔn)備。

它遵循CIS Amazon Web Services Foundations Benchmark（49項(xiàng)檢查）的指導(dǎo)方針，并包含超過(guò)240個(gè)安全控件，涵蓋CI、PCI-DSS、ISO27001、GDPR、HIPAA、FFIEC、SOC2等多種合規(guī)和安全標(biāo)準(zhǔn)。

Prowler支持AWS多個(gè)區(qū)域和大多數(shù)AWS服務(wù)的安全最佳實(shí)踐，包括但不限于Identity and Access Management、Logging、Monitoring、Networking等。

Prowler不僅提供了基礎(chǔ)的安全檢查，還支持自定義檢查，以適應(yīng)不同組織的安全需求。

Prowler是用bash編寫(xiě)的，并依賴(lài)于A(yíng)WS-CLI、jq和detect-secrets等工具。它可以在Linux、Mac OS或Windows的cygwin環(huán)境中運(yùn)行。

值得注意的是，Prowler是專(zhuān)門(mén)為AWS云環(huán)境設(shè)計(jì)的，因此不支持其他云環(huán)境（如GCP、Azure等）。同時(shí)，安裝Prowler時(shí)需要確保已經(jīng)安裝了最新版本的AWS-CLI，并需要根據(jù)官方文檔持續(xù)更新以應(yīng)對(duì)新的安全威脅和AWS服務(wù)的變化。

并且在使用Prowler進(jìn)行安全評(píng)估時(shí)，需要確保有足夠的權(quán)限來(lái)訪(fǎng)問(wèn)AWS資源，并遵循最佳實(shí)踐以保護(hù)敏感信息。

下載地址：https://github.com/prowler-cloud/prowler

SiCat：漏洞利用研究開(kāi)源工具

SiCat是一款用于漏洞利用研究的開(kāi)源工具，能從開(kāi)放渠道和內(nèi)部數(shù)據(jù)庫(kù)中獲取和編譯有關(guān)漏洞利用的信息。其主要目的是協(xié)助網(wǎng)絡(luò)安全，使用戶(hù)能夠在互聯(lián)網(wǎng)上搜索潛在的漏洞和相應(yīng)的漏洞利用。

SiCat由Akas Wisnu Aji開(kāi)發(fā)，可通過(guò)公共渠道和內(nèi)部數(shù)據(jù)庫(kù)搜索漏洞利用信息，從而簡(jiǎn)化了在互聯(lián)網(wǎng)上搜索潛在漏洞及其相應(yīng)利用的過(guò)程。

同時(shí)，SiCat支持從多個(gè)數(shù)據(jù)庫(kù)和來(lái)源搜索漏洞利用信息，包括Exploit-DB、Exploit Alert、Packetstorm Security、NVD數(shù)據(jù)庫(kù)和Metasploit模塊等，確保提供的信息廣泛且最新。

SiCat還具有先進(jìn)的報(bào)告系統(tǒng)，能夠以HTML和JSON格式提供漏洞搜索結(jié)果，便于用戶(hù)管理和分析潛在的發(fā)現(xiàn)。

SiCat可基于XML格式的Nmap掃描結(jié)果啟動(dòng)，進(jìn)一步擴(kuò)展了其功能和應(yīng)用范圍。

此外，SiCat的適用網(wǎng)絡(luò)安全場(chǎng)景也很多，如日常的安全審計(jì)、緊急響應(yīng)疑似入侵事件等。通過(guò)關(guān)鍵詞搜索或直接分析Nmap掃描報(bào)告，SiCat都能精準(zhǔn)地列出相關(guān)漏洞利用詳情，幫助團(tuán)隊(duì)制定防御策略。例如，針對(duì)Telerik組件的特定版本，SiCat可以跨ExploitDB和Metasploit模塊查找對(duì)應(yīng)的漏洞利用方式，大大提高了安全檢查的效率。更重要的是SiCat具有簡(jiǎn)單明了的代碼結(jié)構(gòu)，即使是新手也可以輕松上手。

下載地址：https://github.com/justakazh/sicat

Malwoverview：流行的威脅狩獵工具

Malwoverview是一款專(zhuān)注于惡意軟件分析和威脅狩獵的開(kāi)源工具，可用于惡意軟件樣本、URL、IP地址、域、惡意軟件系列、I0C和哈希的初始和快速評(píng)估。

Malwoverview對(duì)惡意軟件樣本的初始和快速評(píng)估功能包括動(dòng)態(tài)和靜態(tài)行為報(bào)告的生成。它允許用戶(hù)從各種端點(diǎn)提交和下載樣本，以便進(jìn)行進(jìn)一步的分析。

同時(shí)，Malwoverview集成了來(lái)自多個(gè)威脅情報(bào)源的信息，如Virus Total、Hybrid Analysis、URLHaus、Polyswarm、Malshare等。這使得用戶(hù)能夠獲取關(guān)于惡意軟件樣本的廣泛情報(bào)，從而更全面地了解威脅。

Malwoverview還能夠根據(jù)導(dǎo)入表（impash）確定相似的可執(zhí)行惡意軟件樣本（PE/PE+），并按不同顏色對(duì)它們進(jìn)行分組。這有助于用戶(hù)快速識(shí)別相關(guān)的惡意軟件家族或變種。

此外，該工具顯示與多個(gè)威脅情報(bào)引擎相關(guān)的哈希信息，包括Virus Total、Hybrid Analysis、Malshare、Polyswarm、URLhaus等。這使得用戶(hù)能夠輕松識(shí)別樣本是否已被其他情報(bào)源標(biāo)記為惡意。

Malwoverview允許用戶(hù)檢查Virus Total、Hybrid Analysis和PolySwarm上的可疑文件，以獲取更深入的威脅情報(bào)，并提供生成動(dòng)態(tài)和靜態(tài)行為報(bào)告，以及從各種端點(diǎn)提交和下載樣本的功能。

下載地址：https://github.com/alexandreborges/malwoverview

WebCopilot：開(kāi)源自動(dòng)化工具

WebCopilot是一種開(kāi)源自動(dòng)化工具，它可以枚舉目標(biāo)的子域名并使用各種免費(fèi)工具發(fā)現(xiàn)錯(cuò)誤。不僅簡(jiǎn)化了應(yīng)用程序安全工作流程還從一定程度上減少了人們對(duì)手動(dòng)腳本的依賴(lài)。

通過(guò)利用gobuster、httpx等工具，WebCopilot可在深度探測(cè)后識(shí)別出潛在的XSS、SQL注入、開(kāi)放重定向、LFI、SSRF和RCE等安全漏洞參數(shù)。

WebCopilot的工作流程高度集成化，它通過(guò)DNS記錄查詢(xún)和爬網(wǎng)等方式收集和驗(yàn)證子域，繼而提取子域名的標(biāo)題甚至截圖進(jìn)行視覺(jué)檢查。

在實(shí)際使用時(shí)，研究人員可以直接通過(guò)Git命令將WebCopilot的源碼克隆至本地，然后在項(xiàng)目目錄下為工具安裝腳本提供可執(zhí)行權(quán)限，并以root權(quán)限進(jìn)行安裝。安裝完成后，用戶(hù)可以通過(guò)命令行界面使用WebCopilot進(jìn)行子域名枚舉和漏洞掃描等操作。

WebCopilot作為一款開(kāi)源自動(dòng)化工具，在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著重要作用。它不僅能夠快速枚舉目標(biāo)域名的所有子域名，還能通過(guò)深度探測(cè)和掃描識(shí)別出潛在的安全漏洞，為網(wǎng)絡(luò)安全研究人員提供了有力的支持。同時(shí)，其高度集成的自動(dòng)化流程和廣泛集成的開(kāi)源工具也確保了其功能的全面性和準(zhǔn)確性。

地址：https://github.com/h4r5h1t/webcopilot

參考資料：

• https://www.secrss.com/articles/64706
• https://blog.51cto.com/lihuailong/9283277