企业安全建设中用到的开源or“免费”的工具

跳到甲方工作也差不多两年了，参与部分企业安全建设工作，主要工作还是渗透和开源平台的建设和维护使用

在这种“甲方”的工作体会就是

1. 公司不是很重视安全这块，网络安全法出台，明确要求企业要做等保测评，招个人做吧
2. 没有资源，要钱没有，要人没有，好在研发的小伙伴和运维小伙伴比较支持工作

两年里，搭建了很多开源的系统，在这里分类了一下， 如果有更好的 欢迎推荐

安装和使用可以去看官方文档

有基础的python和php知识，进行简单二次开发，还有就是调试软件，开源的很多莫名其妙的bug

研发能力强的团队，可以深入甲方企业安全，贴近业务，定制化去开发

漏扫

• nessus（Home版）
• openvas(在kali中安装openvas，注意挂代 理，不然会很慢很慢和报错)
• awvs（破解版-52pojie）
• MSF
• APPscan (破解版)
• Burpsuite pro （破解版）
• mobsf (移动app客户端，支持ios，但是需要在mac上跑)
• Nmap/Zmap/masscan 端口扫描
• w3af/zap/arachni/sqlmap/whatweb
• xray
  

  漏洞管理

• 洞察insight
• SeMF
• Fuxi
• DefectDojo
  

  项管

• jira
• 禅道
  

  src平台

• SRCMS
• laravel-src
  

  资产管理/自动化运维

• xunfeng
• AssetsView
• 蓝鲸bk-cmdb
• OpsManage
• Ansible
• Saltstack
  

  soc/siem

• sosrp
• w3a_SOC
• OpenSOC
• ossim
  

  入侵检测/安全监控/流量回溯

• suricata(selks)
• bro
• ossec(wazuh)
• Security Onion
• OwlH
• Nethserver
• Snort
• OpenWIPS-NG
• moloch
• 点融AgentSmith-HIDS
• 同程-驭龙
• CloudWalker（牧云）现在只开放webshell查杀
• Osquery
  

  web应用安全

• ngx_lua_waf
• lua-resty-waf
• openstar
• ModSecurity
• openwaf
• openRASP
• jxwaf锦衣盾
• x-waf
  

  终端安全集中管理

• 360企业版
• 火绒企业安全
  

  堡垒机

• jumpserver
• teleport

代码质量管理/代码审计

• SonarQube代码质量管理平台-社区版
• cobra
• VCG
• fortify(破解版，找到最新的规则是2018.3)
• RIPS/Seay源代码审计系统(PHP))
• Findbugs（JAVA）
• Dependency-check依赖检查工具
• Find Security Bugs
  

  web日志审计

• 360星图
• xlog
• lorg
  

  日志分析系统

• elk（es+logstash+kibana)
• Kibana_Hanization(kibana汉化)
  

  上网行为管理/准入/统一认证

• packetfence
• ikuai
• openldap
• openID
• 中央认证服务（CAS）
  

  数据防泄漏

• opendlp
  

  基线检查/加固

• CIS
• Lynis审计
• WINSpect
• OpenSCAP
• fail2ban
  

  github泄露扫描

• x-patrol
• Hawkeye
• GSIL
• VKSRC/Github-Monitor
  

  目录索引系统/个人网盘/文件共享

• zdir
• nextcloud
• Seafile社区版
• ownCloud
• Cloudreve
• FileRun
• OnionShare
• Pydio Cells
  

  蜜罐

• p1r06u3_opencanary_web
• T-Pot
• mhn
• Glastopf
• HFish 一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统，为了企业安全防护做出了精心的打造，全程记录黑客攻击手段，实现防护自主化。
• Cowrie/Kippo
  

  钓鱼

• p1r06u3的phishing
• mail_fishing
• blackeye
• Gophish
  

  API网关

• GoKu-API-Gateway
• Kong

风控系统

• Nebula “星云”业务风控系统
• 陌陌风控系统静态规则引擎
• 六道 —— 实时业务风控系统

安全开发

• 陌陌JAVA安全SDK及编码规范
• 陌陌PHP安全SDK及编码规范

数据库安全

• 美团DBProxy数据库防火墙
• mysql-audit
• DB_BaseLine

其他

• WebRange(docker管理平台)
• app-host（内网app发布）
• AdvBox
• osquery
• PHP-SSO
• Scout(url监控平台)
• jxotp(SSH登陆双因素认证系统)
• DOClever
• lynis审计
• archer
• walle-web（代码部署平台）
• apollo(配置中心)
• 长亭开源牧云cloudwalker（只有webshell检测部分）
• Linxu下 rkhunter/chkrootkit
• Win下 pchunter/ 火绒剑/ PowerTool/ ProcessExplorer/ ProcessHacker/ autoruns/ OTL
• Kaspersky
• Fastir_Collector_win取证
• Fastir_Collector_Linux取证
• D盾 webshell查杀
• Sandboxie 个人版沙箱
• cuckoo沙箱
• theZoo沙箱
• ClamAV
• 瓦力 Devops开源项目代码部署平台
• DNSLog
• frp