长亭百川云 - 文章详情

fraday开源漏洞全生命周期管理神器

Wuli王蜀黎

81

2024-07-26

安全有两项艰巨的任务:设计获取新信息的智能方法,以及跟踪发现以改进补救措施。使用 Faraday,您可以专注于发现漏洞,而我们则帮助您完成其余工作。只需在您的终端中使用它,即可随时随地整理您的工作。Faraday 旨在让您以真正的多用户方式利用社区中可用的工具。

Faraday 聚合并规范化您加载的数据,允许将其探索成对管理人员和分析师都有用的不同可视化形式。

安装

Docker-compose

启动并运行 Faraday 的最简单方法是使用我们的 docker-compose

$ wget https://raw.githubusercontent.com/infobyte/faraday/master/docker-compose.yaml
$ docker-compose up

项目地址:https://github.com/infobyte/faraday

例子:

将 Faraday 作为独立容器运行

docker run \
    ...
    -v /path/to/my_doc_folder:/faraday-license \
    -v /path/to/my_storage_folder:/faraday-storage \
    -v /path/to/my_config_folder:/faraday-config
    ...
    faradaysec/faraday:4.6.2

将 Faraday 作为服务运行

vim docker-compose.yml
version: '4.02'
services:
  ...
  volumes:
    - /path/to/{my_config_folder}:/home/faraday/.faraday
  ...

环境变量

如果您没有配置文件,则需要设置一些环境变量。这些变量带有默认值,因此您需要根据安装配置自定义部分或全部变量。

PGSQL_HOST=172.2.0.1 # PostgreSQL server host.
PGSQL_USER=faraday_postgresql # PostgreSQL user
PGSQL_PASSWD=mypgsqlpassword # PostgreSQL user's password.
PGSQL_DBNAME=faraday # Faraday's database name

现在我们已经了解了上述卷和环境变量,让我们运行 Faraday,假设我们想要连接到 PostgreSQL 的地址 192.168.20.29,并且我们已将 Faraday 的配置文件夹位于其默认位置:~/.faraday

作为独立容器¶

运行以下命令并指定正确的信息:

使用环境变量

docker run \
    -v ~/.faraday/doc:/faraday-license \
    -v ~/.faraday/storage:/faraday-storage \
    -p 5985:5985 \
    -e PGSQL_HOST='192.168.20.29' \
    -e PGSQL_PASSWD='mypgsqlpassword' \
    -e LISTEN_ADDR='0.0.0.0' \
    faradaysec/faraday:latest

使用环境变量

version: '4.02'
 
services:
server:
image: faradaysec/faraday:latest
    environment:
- LISTEN_ADDR=0.0.0.0
- PGSQL_HOST=192.168.20.29
- PGSQL_USER=faraday_postgresql
- PGSQL_PASSWD=/run/secrets/pgsql_passwd
- PGSQL_DBNAME=faraday
secrets:
- pgsql_passwd
ports:
- 5985:5985
volumes:
- ~/.faraday/storage:/faraday-storage
deploy:
replicas: 1
placement:
constraints: [node.role == manager]
 secrets:
pgsql_passwd:
external: true

关于漏洞管理我们看看Faraday 支持可导入的漏扫报告的工具:

References to the Tools:

  • Acunetix (REPORT) (XML)

  • Amap (CONSOLE)

  • Appscan (REPORT)

  • AppSpider (REPORT)

  • Arachni (REPORT, CONSOLE) (XML)

  • arp-scan (CONSOLE)

  • AWS Prowler (REPORT)

  • Bandit (REPORT)

  • BeEF (API)

  • Brutexss (REPORT)

  • Burp, BurpPro (REPORT, API) (XML)

  • Core Impact, Core Impact (REPORT) (XML)

  • Dig (CONSOLE)

  • Dirb (CONSOLE)

  • Dirsearch (REPORT,CONSOLE)

  • Dnsenum (CONSOLE)

  • Dnsmap (CONSOLE)

  • Dnsrecon (CONSOLE)

  • Dnswalk (CONSOLE)

  • evilgrade (API)

  • Fierce (CONSOLE, REPORT)

  • Fortify (REPORT)

  • Fruitywifi (API)

  • ftp (CONSOLE)

  • Goohost (REPORT, CONSOLE) (XML)

  • hping3 (CONSOLE)

  • Hydra (CONSOLE) (XML)

  • Ip360 (REPORT)

  • Junit (REPORT)

  • Lynis (REPORT)

  • Maltego (REPORT)

  • Microsoft Baseline Security Analyzer (REPORT)

  • Medusa (CONSOLE)

  • Metasploit, (REPORT, API) (XML) XML report

  • Naabu (CONSOLE) (REPORT)

  • Ncrack (REPORT)

  • Ndiff (REPORT, CONSOLE)

  • Nessus, (REPORT) (XML .nessus)

  • Netdiscover (CONSOLE)

  • Netsparker (REPORT) (XML)

  • Netsparker Cloud (REPORT)

  • Nexpose, Nexpose Enterprise, (REPORT) (simple XML, XML Export plugin (2.0))

  • NextNet (CONSOLE)

  • Nikto (REPORT, CONSOLE) (XML)

  • Nipper (REPORT)

  • Nmap (REPORT, CONSOLE) (XML)

  • Nuclei (REPORT)

  • OpenScap (REPORT)

  • Openvas (REPORT) (XML)

  • PasteAnalyzer (CONSOLE)

  • Peeping Tom (CONSOLE)

  • ping (CONSOLE)

  • propecia (CONSOLE)

  • Qualysguard (REPORT) (XML)

  • QualysWebApp (REPORT)

  • rdpscan (CONSOLE)

  • Recon-NG (REPORT)

  • Retina (REPORT) (XML)

  • Reverseraider (CONSOLE)

  • Shodan (API)

  • Skipfish (CONSOLE)

  • SonarQube (REPORT)

  • SourceClear (REPORT)

  • SSHdefaultscan (CONSOLE)

  • SSL Labs (REPORT)

  • SSLyze (REPORT, CONSOLE) (XML)

  • Sublist3r (REPORT,CONSOLE)

  • Telnet (CONSOLE)

  • Theharvester (CONSOLE)

  • Traceroute (CONSOLE)

  • W3af (REPORT) (XML)

  • Wapiti (CONSOLE)

  • Wcscan (CONSOLE)

  • WebInspect (REPORT,CONSOLE)

  • Wfuzz (CONSOLE)

  • Wfuzz (CONSOLE)

  • WhatWebPlugin (REPORT)

  • WhiteSource (REPORT)

  • whois (CONSOLE)

  • WPScan (CONSOLE)

  • Xsssniper (REPORT)

  • X1, Onapsis (REPORT) (XML)

  • Zap (REPORT) (XML

Faraday 有三种可用的插件:控制台、报告和API(也称为在线)。但是,这些并不互相排斥,这意味着某些工具有多个插件来处理其输出。例如,Nmap有一个控制台插件,可让您直接从 ZSH 运行它,但它也有一个报告插件,以便导入在 Faraday 之外运行的扫描。

要查看您的发现的完整列表,您可以通过单击左侧菜单上的“漏洞”按钮访问“漏洞”视图。

您可以将您最喜欢的工具的扫描报告上传到 Faraday,并通过 Vulns View 查看您的发现。

Faraday REST API 使您能够与我们的服务器交互。使用此 API 与 Faraday 服务器交互或集成。此页面记录了 REST API,其中包含 HTTP 响应代码以及示例请求和响应。

接口文档见:https://docs.faradaysec.com/api-swagger/

Faraday 本身安全性提供了支持单点登录、双因子认证,对企业部署安全性上提供了便利性。

Faraday 支持gitlab、jira、solarwinds、servicenow的集成


选1个项目

就可以对代码仓里的漏洞进行全生命周期管理。

Faraday 还有好多实用的功能去大家挖掘,通过研究发现这个工具更适合我们的日常工作的漏洞管理。整体的路径分为:

1、研发产线常用代码仓( owner负责)----Faraday 管理跟踪-----漏洞闭环

2、漏洞验证工具(漏洞扫描器)--资产脆弱性挖掘--Faraday 管理跟踪--漏洞闭环。

是不是对我们安全运营工作是不是有很大帮助,也许有很多朋友说无汉化,但是对于我们搞计算机的,其实英文也还好。主要能够闭环漏洞管理,也能对资产脆弱性进行一个全面视角。

Faraday是值得大家去学习和研究的,每天分享一些安全工具,希望和大家一起进步。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2