私有资产测绘&安全流水线Shovel(Preview)发布
发布版本:Shovel-v0.1.7
当前项目发布版本 Shovel-v0.1.7(预览版) | 企业级资产测绘管理,开启资配漏补新范式
快速开始:https://diamond-shovel.github.io/shovel-wiki/#/quick-start
WIKI: https://diamond-shovel.github.io/shovel-wiki/#/
注意: 该项目与相关功能插件社区正在积极开发中,未来将发布突破性变更版本。
更新前建议查看版本变更日志。
如果您觉得项目对您有帮助,请到我们的核心库https://github.com/diamond-shovel/diamond-shovel给我们的项目点一个鼓励的星星⭐️!
注: 以上链接可能在国内部分地区访问缓慢,请使用科研网络访问。
基础功能集与部分页面
Shovel的潜力远不仅限于传统的资产管理三件套!
不仅仅是子域名自动扫描、端口自动扫描、指纹自动识别。基础功能轻松使用的同时,我们还将发布更多官方插件,并提供企业插件定制服务。
应用场景与使用逻辑
任务案例
每天0点、12点,系统自动从A企业备案中 以增量 的方式查询域名 ,并通过45个 数据源获取其子域 资产。同时,使用Fofa API 查询目标资产、对该C段 所解析的目标域名的超过5个C段进行扫描,并通过扫描目标端口、筛选目标WEB服务、识别目标高危指纹、提取关键信息、从而对所获取的信息进行漏洞扫描。
策略创建
快速部署,配置专属于你的扫描策略!
一键启动
简洁明了任务创建,快速配置一键启动。
战果查看
扫描完成,资产收录清晰可见。
不止是传统资产管理,主被动收录与录入更使影子无所遁形。
资产态势
焕然一新的资产态势,无论资产所属本地还是云上,资产配置一目了然。
根据系统所记录的资产所生成的资产态势,助力企业资产配置与管理。
漏洞管理
漏洞尽收眼底,扫描结果一览无余。
不仅支持漏洞信息快速查看,一键导出助力漏洞补偿。
注: 插件组合方式非仅有展示组合,用户可根据WIKI根据需求自行组合。
(后续将推出插件组合有向图,提供官方插件组合方案)
其它功能
此外,Shovel-v0.1.7还发布了其它基础功能。
插件管理
🧩 插件管理系统:打造您安全的瑞士军刀。
即插即用生态:共建共享社区插件生态圈。
极低开发成本:模版化开发简单编写插件。
可编辑扫描插件:等保合规/红队闪电战/资产接管多种情况均可适配 。
Shovel 的插件商店 和开放SDK ,使其安全能力像乐高积木般自由组合。
无论是调用 FOFA/API 与外部数据整合,还是集成 Nuclei 进行漏洞验证。无需重复造轮子,直接复用社区沉淀即为最佳实践。
定时任务
⏰ 定时任务:解放双手的自动化武器
秒级精度:按秒/分钟/小时/周灵活设定,深夜自动开启全局扫描 。
增量扫描模式:持续追踪新增资产。
资产态势
🗺️ 资产热力图:看清边缘战场
智能探测:主机运行情况清晰展示。
地理位置展示:轻松查看边缘资产 。
Shovel初步尝试实现将资产从表格上冰冷的文字转换为空间感知,使工程师可快速发现资产的差同。
❗ 温馨提示
我们正在全力推进Shovel的开发工作,新版本将带来突破性更新。当前预览版可能存在问题,请随时向开发组提出Issue报告!
issue(Bug反馈)或Feature(加入Shovel内核级功能开发),至https://github.com/diamond-shovel/diamond-shovel/issues或shovel@hscsec.cn。
鸣谢(得到开发者允许且被开发组使用并加入了官方插集):
https://github.com/owasp-amass/amass
https://github.com/wgpsec/ENScan_GO
https://github.com/projectdiscovery/nuclei
加入本项目开发
请投递联系方式和简历至h.w@hscsec.cn
⚠️ 法律声明
本工具仅限合法授权的安全测试使用,禁止用于未授权渗透测试
shovel社群
扫描下方二维码加入shovel交流群
