私有资产测绘&安全流水线Shovel

私有资产测绘&安全流水线Shovel(Preview)发布

发布版本:Shovel-v0.1.7

当前项目发布版本 Shovel-v0.1.7(预览版) | 企业级资产测绘管理,开启资配漏补新范式

快速开始:https://diamond-shovel.github.io/shovel-wiki/#/quick-start

WIKI: https://diamond-shovel.github.io/shovel-wiki/#/

注意: 该项目与相关功能插件社区正在积极开发中,未来将发布突破性变更版本。

更新前建议查看版本变更日志。

如果您觉得项目对您有帮助,请到我们的核心库https://github.com/diamond-shovel/diamond-shovel给我们的项目点一个鼓励的星星⭐️!

注: 以上链接可能在国内部分地区访问缓慢,请使用科研网络访问。


基础功能集与部分页面

​ Shovel的潜力远不仅限于传统的资产管理三件套!

​ 不仅仅是子域名自动扫描、端口自动扫描、指纹自动识别。基础功能轻松使用的同时,我们还将发布更多官方插件,并提供企业插件定制服务。

应用场景与使用逻辑

任务案例

​ 每天0点、12点,系统自动从A企业备案中增量 的方式查询域名 ,并通过45个 数据源获取其子域 资产。同时,使用Fofa API 查询目标资产、对该C段 所解析的目标域名的超过5个C段进行扫描,并通过扫描目标端口、筛选目标WEB服务、识别目标高危指纹、提取关键信息、从而对所获取的信息进行漏洞扫描。

策略创建

​ 快速部署,配置专属于你的扫描策略!

一键启动

​ 简洁明了任务创建,快速配置一键启动。

战果查看

​ 扫描完成,资产收录清晰可见。

​ 不止是传统资产管理,主被动收录与录入更使影子无所遁形。

资产态势

​ 焕然一新的资产态势,无论资产所属本地还是云上,资产配置一目了然。

​ 根据系统所记录的资产所生成的资产态势,助力企业资产配置与管理。

漏洞管理

​ 漏洞尽收眼底,扫描结果一览无余。

​ 不仅支持漏洞信息快速查看,一键导出助力漏洞补偿。

注: 插件组合方式非仅有展示组合,用户可根据WIKI根据需求自行组合。

(后续将推出插件组合有向图,提供官方插件组合方案)


其它功能

此外,Shovel-v0.1.7还发布了其它基础功能。

插件管理

🧩 插件管理系统:打造您安全的瑞士军刀。

即插即用生态:共建共享社区插件生态圈。

极低开发成本:模版化开发简单编写插件。

可编辑扫描插件:等保合规/红队闪电战/资产接管多种情况均可适配 。

Shovel 的插件商店开放SDK ,使其安全能力像乐高积木般自由组合。

无论是调用 FOFA/API 与外部数据整合,还是集成 Nuclei 进行漏洞验证。无需重复造轮子,直接复用社区沉淀即为最佳实践。

定时任务

⏰ 定时任务:解放双手的自动化武器

秒级精度:按秒/分钟/小时/周灵活设定,深夜自动开启全局扫描 。

增量扫描模式:持续追踪新增资产。

资产态势

🗺️ 资产热力图:看清边缘战场

智能探测:主机运行情况清晰展示。

地理位置展示:轻松查看边缘资产 。

Shovel初步尝试实现将资产从表格上冰冷的文字转换为空间感知,使工程师可快速发现资产的差同。


❗ 温馨提示

​ 我们正在全力推进Shovel的开发工作,新版本将带来突破性更新。当前预览版可能存在问题,请随时向开发组提出Issue报告!

​ issue(Bug反馈)或Feature(加入Shovel内核级功能开发),至https://github.com/diamond-shovel/diamond-shovel/issues或shovel@hscsec.cn。


鸣谢(得到开发者允许且被开发组使用并加入了官方插集):

https://github.com/owasp-amass/amass

https://github.com/wgpsec/ENScan_GO

https://github.com/projectdiscovery/nuclei

https://github.com/antvis/L7


加入本项目开发

请投递联系方式和简历至h.w@hscsec.cn


⚠️ 法律声明

本工具仅限合法授权的安全测试使用,禁止用于未授权渗透测试


shovel社群

扫描下方二维码加入shovel交流群

相关推荐
眠修23 分钟前
Kuberrnetes 服务发布
linux·运维·服务器
你不知道我是谁?1 小时前
AI 应用于进攻性安全
人工智能·安全
好奇的菜鸟1 小时前
Docker 配置项详解与示例
运维·docker·容器
xcs194052 小时前
集运维 麒麟桌面版v10 sp1 2403 aarch64 离线java开发环境自动化安装
运维·自动化
BAOYUCompany2 小时前
暴雨服务器成功中标华中科技大学集成电路学院服务器采购项目
运维·服务器
薄荷椰果抹茶2 小时前
【网络安全基础】第一章---引言
安全·网络安全
超龄超能程序猿2 小时前
Bitvisse SSH Client 安装配置文档
运维·ssh·github
奈斯ing3 小时前
【Redis篇】数据库架构演进中Redis缓存的技术必然性—高并发场景下穿透、击穿、雪崩的体系化解决方案
运维·redis·缓存·数据库架构
鳄鱼皮坡3 小时前
仿muduo库One Thread One Loop式主从Reactor模型实现高并发服务器
运维·服务器
即将头秃的程序媛3 小时前
centos 7.9安装tomcat,并实现开机自启
linux·运维·centos