半开源Web安全测试与学习平台 – 蚁逅

一个为网络安全爱好者而生的在线代码编写与测试交流平台,一个新生而又不失高大上的漏洞编写以及辅助测试框架,一个从一开始希望逐步壮大的舞台,一个有你才精彩的半开源项目。

为什么称为半开源呢?听我慢慢道来。

开发初衷

一直想做一个比较完美的工具,能够最大化地方便用户以及最大化地进行自由扩展。

目前流传着大大小小好好坏坏参差不齐的工具、框架、平台,有用python写的,php写的,c、c++、c#以及各种杂乱无章的语言写的,大小各异;有绑马的,有汉化的,有个人修改版的,有过狗XX增强版的,数不清,也分不清。

我们写一个工具的目的是什么?为了更方便地工作,为了更快速的测试,为了更强壮的军火库?我觉得应该是,但是如果按照这种形式发展,个人的电脑里面杂七杂八的各种工具,这样真的好吗?

我是一个比较喜欢自由与统一的人,不喜欢这种为了检测一下是否有xx漏洞,从搜索代码,到本地安装环境,到下载各种库,然后最后看到运行失败的时候,一声的无奈的叹息。

我觉得,工具就是为了更方便用户使用,用户写工具也应该要更方便,更统一,而不是为了使用某个工具去下载杂七杂八的东西,那是程序员才干的事。

所以,我采取了半个月的时间构思与编码这款平台,不是为了取代各种各样好好坏坏的工具,而是为了方便形形色色多姿多彩的我们。

简单介绍

首先,我们看一下平台的演示图片:

半开源Web安全测试与学习平台 – 蚁逅

半开源Web安全测试与学习平台 – 蚁逅

(想看大图请点击图片)

第一张是代码编写中的预览与测试调试情况,可以看到所需要编写的代码非常简洁(其实可以写得更简洁),在编写代码过程中会自动生成预览(前提是代码无误),然后点击测试按钮即可进行实时地调试测试。具体请参考开发文档

第二张是插件运行时的情况,用户只需要在输入框中输入参数点击运行即可。

方便,快速,就是这么写的!

平台功能

用户初次登录使用的时候需要配置一下自己的后端+代理脚本,至于怎么配置什么的,这里不多说,文档都有,这和平台功能有什么关系呢?其实,关系大了。

平台主要是通过后端脚本进行插件代码与代理脚本的通信,也就是说后端脚本就是一个封装函数库。而代理脚本则是用来进行数据发送与返回的脚本,它可以采用Python、PHP、nodejs、ruby、golang等等脚本语言编写,而且你还可以最大化的定制发送的数据,比如绕过WAF,比如进行一些简单的URL计算替换等等。其实,个人觉得这样的架构最好的好处就是,你可以把你的服务端扔在任何你可以连接的地方,比如我们使用PHP脚本,可以把它放到对方的WEB服务器,这样就可以对它的内网进行扫描探测以及漏洞利用等操作了。

当然,前期还没有这么多的代理脚本,出于个人精力有限,只粗略完成了Chrome扩展以及PHP版本的代理后端脚本。你可以直接在后端脚本配置中点击“获取”按钮进入开源项目主页,也可以通过以下链接加入我们。欢迎广大爱好者们一起来,一起嗨!

后端代理脚本开源项目地址:https://coding.net/u/sec

– 蚁逅临时站点:http://ant.coding.io

– 备用主页站点:http://ant.3asec.com (暂未开通)

– 蚁逅官方微博:http://weibo.com/antoor 

由于目前仍处于开发调试以及后端脚本、文档等等编写阶段,所以采用了一个临时的站点进行测试,等待时机成熟会转用正式地址。 具体请及时关注微博,最新消息展现给你!

注册登录

这里简单说一下吧,注册的用户可以不使用密码登录,只需要一个用户注册以及登录的文件(可以称为key file),拖拽到注册页面。
即可快速注册,同理,拖拽到登录界面即可快速登录!!(注意注册的文件请保证唯一性,不然指不定哪天登录不了了别怪我没提醒哈)

如果你不喜欢这种方式也没关系,直接输入要注册的信息进行注册即可!

最后,我推荐你使用Chrome扩展版的后端代理脚本,以及使用Chrome浏览器进行访问,体验会更好 半开源Web安全测试与学习平台 – 蚁逅

有什么建议交流可以随时微博@我,欢迎大家的关注!

[作者/69氏,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]