安全有两项艰巨的任务:设计获取新信息的智能方法,以及跟踪发现以改进补救措施。使用 Faraday,您可以专注于发现漏洞,而我们则帮助您完成其余工作。只需在您的终端中使用它,即可随时随地整理您的工作。Faraday 旨在让您以真正的多用户方式利用社区中可用的工具。
Faraday 聚合并规范化您加载的数据,允许将其探索成对管理人员和分析师都有用的不同可视化形式。
安装
Docker-compose
启动并运行 Faraday 的最简单方法是使用我们的 docker-compose
$ wget https://raw.githubusercontent.com/infobyte/faraday/master/docker-compose.yaml
$ docker-compose up
项目地址:https://github.com/infobyte/faraday
例子:
将 Faraday 作为独立容器运行
docker run \
...
-v /path/to/my_doc_folder:/faraday-license \
-v /path/to/my_storage_folder:/faraday-storage \
-v /path/to/my_config_folder:/faraday-config
...
faradaysec/faraday:4.6.2
将 Faraday 作为服务运行
vim docker-compose.yml
version: '4.02'
services:
...
volumes:
- /path/to/{my_config_folder}:/home/faraday/.faraday
...
环境变量
如果您没有配置文件,则需要设置一些环境变量。这些变量带有默认值,因此您需要根据安装配置自定义部分或全部变量。
PGSQL_HOST=172.2.0.1 # PostgreSQL server host.
PGSQL_USER=faraday_postgresql # PostgreSQL user
PGSQL_PASSWD=mypgsqlpassword # PostgreSQL user's password.
PGSQL_DBNAME=faraday # Faraday's database name
现在我们已经了解了上述卷和环境变量,让我们运行 Faraday,假设我们想要连接到 PostgreSQL 的地址 192.168.20.29,并且我们已将 Faraday 的配置文件夹位于其默认位置:~/.faraday
作为独立容器¶
运行以下命令并指定正确的信息:
使用环境变量
docker run \
-v ~/.faraday/doc:/faraday-license \
-v ~/.faraday/storage:/faraday-storage \
-p 5985:5985 \
-e PGSQL_HOST='192.168.20.29' \
-e PGSQL_PASSWD='mypgsqlpassword' \
-e LISTEN_ADDR='0.0.0.0' \
faradaysec/faraday:latest
使用环境变量
version: '4.02'
services:
server:
image: faradaysec/faraday:latest
environment:
- LISTEN_ADDR=0.0.0.0
- PGSQL_HOST=192.168.20.29
- PGSQL_USER=faraday_postgresql
- PGSQL_PASSWD=/run/secrets/pgsql_passwd
- PGSQL_DBNAME=faraday
secrets:
- pgsql_passwd
ports:
- 5985:5985
volumes:
- ~/.faraday/storage:/faraday-storage
deploy:
replicas: 1
placement:
constraints: [node.role == manager]
secrets:
pgsql_passwd:
external: true
关于漏洞管理我们看看Faraday 支持可导入的漏扫报告的工具:
References to the Tools:
-
Acunetix (REPORT) (XML)
-
Amap (CONSOLE)
-
Appscan (REPORT)
-
AppSpider (REPORT)
-
Arachni (REPORT, CONSOLE) (XML)
-
arp-scan (CONSOLE)
-
AWS Prowler (REPORT)
-
Bandit (REPORT)
-
BeEF (API)
-
Brutexss (REPORT)
-
Burp, BurpPro (REPORT, API) (XML)
-
Core Impact, Core Impact (REPORT) (XML)
-
Dig (CONSOLE)
-
Dirb (CONSOLE)
-
Dirsearch (REPORT,CONSOLE)
-
Dnsenum (CONSOLE)
-
Dnsmap (CONSOLE)
-
Dnsrecon (CONSOLE)
-
Dnswalk (CONSOLE)
-
evilgrade (API)
-
Fierce (CONSOLE, REPORT)
-
Fortify (REPORT)
-
Fruitywifi (API)
-
ftp (CONSOLE)
-
Goohost (REPORT, CONSOLE) (XML)
-
hping3 (CONSOLE)
-
Hydra (CONSOLE) (XML)
-
Ip360 (REPORT)
-
Junit (REPORT)
-
Lynis (REPORT)
-
Maltego (REPORT)
-
Microsoft Baseline Security Analyzer (REPORT)
-
Medusa (CONSOLE)
-
Metasploit, (REPORT, API) (XML) XML report
-
Naabu (CONSOLE) (REPORT)
-
Ncrack (REPORT)
-
Ndiff (REPORT, CONSOLE)
-
Nessus, (REPORT) (XML .nessus)
-
Netdiscover (CONSOLE)
-
Netsparker (REPORT) (XML)
-
Netsparker Cloud (REPORT)
-
Nexpose, Nexpose Enterprise, (REPORT) (simple XML, XML Export plugin (2.0))
-
NextNet (CONSOLE)
-
Nikto (REPORT, CONSOLE) (XML)
-
Nipper (REPORT)
-
Nmap (REPORT, CONSOLE) (XML)
-
Nuclei (REPORT)
-
OpenScap (REPORT)
-
Openvas (REPORT) (XML)
-
PasteAnalyzer (CONSOLE)
-
Peeping Tom (CONSOLE)
-
ping (CONSOLE)
-
propecia (CONSOLE)
-
Qualysguard (REPORT) (XML)
-
QualysWebApp (REPORT)
-
rdpscan (CONSOLE)
-
Recon-NG (REPORT)
-
Retina (REPORT) (XML)
-
Reverseraider (CONSOLE)
-
Shodan (API)
-
Skipfish (CONSOLE)
-
SonarQube (REPORT)
-
SourceClear (REPORT)
-
SSHdefaultscan (CONSOLE)
-
SSL Labs (REPORT)
-
SSLyze (REPORT, CONSOLE) (XML)
-
Sublist3r (REPORT,CONSOLE)
-
Telnet (CONSOLE)
-
Theharvester (CONSOLE)
-
Traceroute (CONSOLE)
-
W3af (REPORT) (XML)
-
Wapiti (CONSOLE)
-
Wcscan (CONSOLE)
-
WebInspect (REPORT,CONSOLE)
-
Wfuzz (CONSOLE)
-
Wfuzz (CONSOLE)
-
WhatWebPlugin (REPORT)
-
WhiteSource (REPORT)
-
whois (CONSOLE)
-
WPScan (CONSOLE)
-
Xsssniper (REPORT)
-
X1, Onapsis (REPORT) (XML)
-
Zap (REPORT) (XML
Faraday 有三种可用的插件:控制台、报告和API(也称为在线)。但是,这些并不互相排斥,这意味着某些工具有多个插件来处理其输出。例如,Nmap有一个控制台插件,可让您直接从 ZSH 运行它,但它也有一个报告插件,以便导入在 Faraday 之外运行的扫描。
要查看您的发现的完整列表,您可以通过单击左侧菜单上的“漏洞”按钮访问“漏洞”视图。
您可以将您最喜欢的工具的扫描报告上传到 Faraday,并通过 Vulns View 查看您的发现。
Faraday REST API 使您能够与我们的服务器交互。使用此 API 与 Faraday 服务器交互或集成。此页面记录了 REST API,其中包含 HTTP 响应代码以及示例请求和响应。
接口文档见:https://docs.faradaysec.com/api-swagger/
Faraday 本身安全性提供了支持单点登录、双因子认证,对企业部署安全性上提供了便利性。
Faraday 支持gitlab、jira、solarwinds、servicenow的集成
选1个项目
就可以对代码仓里的漏洞进行全生命周期管理。
Faraday 还有好多实用的功能去大家挖掘,通过研究发现这个工具更适合我们的日常工作的漏洞管理。整体的路径分为:
1、研发产线常用代码仓( owner负责)----Faraday 管理跟踪-----漏洞闭环
2、漏洞验证工具(漏洞扫描器)--资产脆弱性挖掘--Faraday 管理跟踪--漏洞闭环。
是不是对我们安全运营工作是不是有很大帮助,也许有很多朋友说无汉化,但是对于我们搞计算机的,其实英文也还好。主要能够闭环漏洞管理,也能对资产脆弱性进行一个全面视角。
Faraday是值得大家去学习和研究的,每天分享一些安全工具,希望和大家一起进步。
