基本概述
我这个GitHub库中托管的是我在服务器端所部属的一些安全增强脚本,它们可以检测SSRF(服务器端请求伪造),Blind XSS、以及XXE漏洞。目前本项目仍处于更新过程中,因为我现在还在收集相关的脚本。在使用这些脚本之前,我通常会重写脚本中的部分代码或通过netcat设置监听器。但这样做的灵活性就非常差了,因此我才决定将这些脚本都上传到一个代码库上,这样每当服务器需要使用某个脚本时,我们就可以直接从GitHub代码库中克隆下来即可。
必备条件
脚本的运行需要Ruby 2.3、域名的有效SSL证书、以及一台能够开启端口80、443、8080和8443的Web服务器。端口80和443用来处理简单的Web流量;端口8080也是一个HTTP端口,当端口80无法正常访问时可以用端口8080来处理网络通信数据;端口8443是一个用来处理HTTPS流量的替代段藕,不同的是它需要使用自签名的SSL证书,我可以使用这个端口来判断服务器的SSL证书是否有效。
工具配置
将该项目克隆到本地,然后通过运行“install.sh“来安装本工具的必备组件。依赖组件安装完成之后,运行“start.sh”来监听所有的端口。因为脚本需要监听端口80和433,因此我们还需要root权限才行,但是在将来的版本中我们会尝试通过切换用户环境来解决这个问题。
参考资料
https://github.com/jobertabma/ground-control
http://www.freebuf.com/sectool/137367.html
