0x01 工具介绍
该工具是一个用于检测HTTP/HTTPS流量中敏感信息的检测工具,旨在帮助企业进行安全建设。它可以作为Burp、Yakit等工具的下游代理,具有内存占用低、速度快等优势。支持用户自定义规则、消息提醒(目前仅支持飞书)、日志管理等功能。使用时需注意合法性和合规性,并确保获取授权。未来版本计划增加内置规则、支持更多消息平台及优化检测规则。
下载地址在末尾
0x02 功能简介
TODO
内置规则支持
企业微信、钉钉机器人支持
日志存储、输出归一化
消息提醒功能优化,避免大量检测出规则导致消息发送失败
规则优化
从JS、CSS等文件内拼接其他文件、接口路径,进行主动访问
支持CSV文件导出
检测规则热加载
当在流量中的信息匹配到规则的时候,将会在控制台输出,同时也会写入本地db文件。若配置了webhook将会发送消息提醒
在对站点渗透测试结束,可以打开数据库连接工具(navicat)等打开db文件,查看检测到的敏感信息详情。
消息提醒效果如下
关于规则,前面列举的内置规则此工具暂时还不支持,在接下来的版本会做优化和适配。
工具支持规则开关,若某个规则产生大量误报可以在enable字段进行关闭。
0x03更新说明
部分error级别日志信息保存在log目录,控制台上不输出为了方便修改,将[lqqyt2423/go-mitmproxy]包拉取本地完善检测规则的某个case
0x04 使用介绍
安装
运行程序后会在当前路径下生成证书、配置文件、数据库文件
请先安装证书文件-选择受信任根证书颁发机构
扫描匹配规则来自于WIH,若部分场景、case无检测到,可以自主根据规则添加、调优,方便的师傅可以提一个issue。
如果需要使用消息提醒功能,请在rule.yaml中加入lark_Webhook的在群组中使用机器人(暂时只支持飞书消息提醒)
使用教程
运行后会显示默认的端口信息,以及飞书webhook地址。如果需要自定义端口可以看后面的编译说明
可以将127.0.0.1:9080地址设置成BurpSuite、浏览器、爬虫的下游代理地址,具体操作如下
问题如何排查
可以在log文件夹下查看日志信息文件,为了防止大量日志打印在控制台,对正常的查看数据造成影响,这里把error级别的日志信息保存到日志文件中。
出现这种无法连接的,大多是本地ip端口的问题,在不影响正常使用的话无需理会。如果出现google、firebase相关可能为无法翻墙,导致无法连接的报错。
Q:检测的不全面
再好的工具本质都是靠着强大的规则支撑,原生WIH的规则其实是有很多bad case。
如果需要查看检测的敏感信息,可以查看log/info.log文件中的内容
控制台可以查看当前站点没响应的原因,例如在burp等其他工具报错的时候可以查看是否为keydd出现问题
Q:飞书消息有的时候收不到
这种情况可能是短时间内检测到大量的敏感信息,飞书webhook频繁访问,导致接口限流,发送失败。后面会优化代码,采取消息队列、限频等方式优化
0x05
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...