基于Docker的套件包括DNS服务器,HTTP路由器,Web服务器和管道Runnerbeplay体育能用吗
更新欧洲最大的众包安全平台是Yeswehack,已推出了一个基于Docker的PWNing环境错误赏金猎人。
Pwning Machine配备了“多合一,可定制和可扩展的工具套件”,包括DNS服务器,HTTP路由器,Web服务器和管道beplay体育能用吗跑步者博客文章在YesWehack网站上透露。beplay体育能用吗
任何人都可以在不到10分钟的时间内在专用服务器上设置基于Docker的环境,并且易于维护环境,声称是Weyhack。
该项目于昨天(7月16日)发行,首先在6月的虚拟黑客会议Nahamcon2020上发布,如下所示。
Bug Bounty Hunters现在通常使用第三方服务进行安全测试。
“设置可以使用HTTPS处理通配符子域的DNS和beplay体育能用吗Web服务器总是很乏味的。Beta测试人员真的很喜欢通过简单地创建一个新文件夹来产生一个新域,” Philippe Lucas(又名Bitk该项目的开发人员告诉每日swbeplay2018官网ig。
Pwning Machine简化并加速了发掘安全性漏洞的过程,随着软件开发中的容器和微服务等技术的出现,这变得更加复杂。
查找和利用安全缺陷通常依赖于盲人等脆弱性的局限性开发跨站脚本((XSS)管理面板收购,服务器端请求伪造((SSRF)接管域控制器和二阶远程代码执行(RCE)。
卢卡斯说:“有了pwnmachine,一切都是为您设置的,并配有一个很好的CLI来管理这一切。”“您已经准备好了所有的骨干,现在可以添加需要所需的服务。”
他从早期采用者那里收到的最常见的反馈是:“我一直想和Docker一起设置类似的东西,但我懒得做得正确。”
PWNing机器
Powerdns,Nginx,Traefik
PWNing Machine具有带有简单API的PowerDNS,可以使用命令行接口管理规则。
还启动了NGINX服务器以及从主机名到路径逻辑的映射。
Traefik,开源反向代理和负载平衡器,处理SSL证书,并将其转发到适当的HTTP流量到适当的容器。
同时,管道跑步者允许错误猎人直接在服务器上运行预定义的任务序列。
安全研究人员可以使用小构建块构建复杂的序列,以避开发行重复命令序列的麻烦 - 反映Gitlab的功能CI管道。
有关的联系Tracing Bug Bounty:法国的Stopcovid项目启动公共计划
管道中的pwnage功能
管道中的下一个主要功能将允许用户自动化错误赏金过程的所有重复部分。
卢卡斯说:“如果您始终以一些DNS枚举开始漏洞赏金,然后进行一些基本的扫描,也许是一些被动的侦察资产,”您的服务器。第一个容器的输出将被转发到下一个。
“您可以将其视为带有管道的外壳解释器,每个命令都是Docker容器。”
卢卡斯说,他还想添加一项功能,使用户可以直接从Github复制其他黑客提供的服务。例如,如果有人做得很好xxe将自动生成有效载荷的服务,DTD,FTP剥离服务器,然后选择在GitHub上发布它。您将可以通过简单的“ PM拉https://../xxe.git”将其添加到计算机中。”
他也一直在与公理的创建者为了使研究人员可以选择使用PWNing Machine作为Axiom而不是Digitalocean的后端。
叉,发展,修改
是的,韦哈克正在鼓励其黑客社区为自我托管解决方案的持续改进做出贡献。
YesWehack说:“该项目虽然功能有效,但仍处于早期阶段。”邀请道德黑客“叉,开发和修改该项目的代码库”。
卢卡斯说,在开发过程中,考虑为PWNing机器启动一个Bug Bounty程序还为时过早,但是“在此期间,每项建议或拉动请求以提高PWNING-MACHINE的安全性非常受欢迎”。
安装要求和说明可以是在github上找到。
“虽然安装非常简单,您仍然需要准备好服务器和域名。这不是您可以立即测试的东西。”卢卡斯说。
“我还将在自己的盒子上发布我使用的所有服务。这将使其他黑客更好地了解Pwning-Machine的能力。”
本文于7月17日更新了Pwning Machine的开发商Philippe Lucas的评论。
